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Prefácio 


As décadas finais do século XX, e este início de século XXI, têm sido 
marcados por progressos notáveis na solução de problemas matemáticos im¬ 
portantes, alguns dos quais estavam em aberto há séculos. Isto é especialmente 
verdadeiro no caso da teoria de números, com a solução da Conjectura de Mor- 
dell por G. Faltings em 1984, e as demonstrações do Último Teorema de Fer- 
mat por A. Wiles, em 1995, e da Conjectura de Catalan por P. Mihãilescu, em 
2002. Entretanto, a demonstração de cada um destes resultados envolve uma 
seção transversal expressiva da matemática contemporânea, de modo que não 
são acessíveis, senão ao especialista. 

Isto explica o enorme impacto produzido na comunidade matemática pela 
descoberta de um algoritmo polinomial de primalidade por Agrawal, Kayal e 
Saxena. Eles não apenas resolveram, de maneira brilhante, um problema que 
está conosco há milênios, como a solução é tão simples que pode ser compreen¬ 
dida por um estudante de graduação em matemática ou ciência da computação. 
Na verdade, a maioria das técnicas matemáticas utilizadas no algoritmo, e em 
sua demonstração, já eram conhecidas desde o final do século XIX. Havia ape¬ 
nas duas exceções: a noção de custo de um algoritmo, que só foi formalizada na 
segunda metade do século XX, e um resultado sobre a distribuição de números 
primos em intervalos, publicada em 1985. 

Não espanta, portanto, que a divulgação na web, em agosto de 2002, do 
artigo original de Agrawal, Kayal e Saxena tenha provocado um frisson rara¬ 
mente visto, que se espalhou não apenas entre matemáticos e especialistas em 
computação, mas entre todos os interessados em matemática, ao ponto de virar 
notícia de jornal. É claro que a utlização dos primos nos sistemas de cripto¬ 
grafia que garantem a segurança de nossas transações pela web deu um lustro 
prático ao que seria, em outros tempos, uma curiosidade matemática. Para 
completar a atmosfera meio mítica associada a este tipo de acontecimento, os 
autores da proeza eram três indianos, dois dos quais haviam acabado há pouco 
o curso de graduação. 

Poucas semanas depois da divulgação do artigo na web, estava claro que 
o resultado estava correto, e começou a corrida para explorá-lo, melhorá-lo e 
generalizá-lo. É neste estágio que estamos atualmente, e ainda é prematuro di¬ 
zer a que novos algoritmos as idéias introduzidas por Agrawal, Kayal e Saxena 
poderão conduzir. Contudo, dois anos depois de descoberto, o algoritmo já 
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foi simplificado a um ponto que é possível descrevê-lo de modo inteiramente 
elementar, e é exatamente este nosso objetivo. 

Na verdade, o algoritmo exposto no capítulo 5 deste livro é uma variação, 
devida a H. W. Lenstra Jr do algoritmo que apareceu em [Agrawal, Kayal e 
Saxena 2002]. A versão que apresentamos segue a exposição de D. Bernstein 
[Bemstein 2003], que por sua vez inclui simplificações sugeridas por Kiran 
Kedlaya. A missão do livro é tornar o algoritmo acessível, em todos os seus 
detalhes, a qualquer um que esteja familiarizado com o conteúdo de [Coutinho 
2001], ou algum livro equivalente. Isto significa que, além de explicar todo o 
procedimento do algoritmo, provamos que funciona corretamente e que tem 
custo polinomial. Como sempre acontece, foi necessário pagar um preço para 
poder manter o livro dentro destes limites. Assim, não foi possível formular o 
algoritmo da maneira mais eficiente possível, nem chegar a obter uma avaliação 
precisa de seu custo. Além disso, o livro se concentra na matemática que serve 
de suporte ao algoritmo, de modo que não abordamos em detalhe questões 
referentes à sua implementação. Mais informações sobre o que ficou de fora 
do livro, incluindo referências sobre a implementação do algoritmo, podem ser 
encontradas no epílogo. 

Como já foi dito, o capítulo 5 deste livro está baseado essencialmente na 
exposição do AKS por D. Bernstein. A organização geral do material também 
deve muito a uma palestra sobre o assunto dada por R. Schoof no IMPA, em 
junho de 2003. A motivação para escrever o texto veio do interesse gerado pelo 
assunto entre os meus alunos da disciplina Número Inteiros e Criptografia, na 
Universidade Federal do Rio de Janeiro. Depois de tentar explicar o algoritmo 
em aula, menos de um mês depois de sua divulgação, ficou bastante claro que 
seria necessário entendê-lo com bastante detalhe, para poder responder às per¬ 
guntas dos alunos. A partir daí passei a acompanhar, pela web, a evolução das 
idéias propostas no algoritmo. Logo ficou claro que uma exposição elementar 
dessas idéias seria, não apenas possível, como também desejável. A desculpa 
que faltava para pôr mãos à obra veio com o convite dos organizadores da 
XVIII Escola de Álgebra para dar um mini-curso sobre este assunto durante a 
escola. 

Gostaria de agradecer a Hernando Bedoya e a Moysés Cohen pela leitura 
cuidadosa do livro, e por seus comentários, correções e sugestões, que melho¬ 
raram em muito o texto. Naturalmente, quaisquer erros que tenham restado são 
de minha inteira responsabilidade. Finalmente, agradeço à Sociedade Brasilei¬ 
ra de Matemática por ter acolhido o texto em sua coleção de livros de iniciação 
científica. 


Rio de Janeiro, 21 de maio de 2004 
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Introdução 


Até onde sabemos, o conceito de número primo foi introduzido na Grécia 
Antiga. Vamos encontrá-lo, por exemplo, nos Elementos de Euclides, escrito 
por volta de 300 a. C.. Segundo a definição 11 do Livro VII dos Elementos, 
Um número primo é aquele que é medido apenas pela uni¬ 
dade. 

Na terminologia usada atualmente, a expressão ‘medido por’ traduz-se como 
‘divisível por um número menor do que ele próprio’. Assim, um número natu¬ 
ral é primo se não é divisível por nenhum inteiro positivo menor que ele, exceto 
1. Um pouco adiante, temos a definição de número composto: 

Um número composto é aquele que é medido por algum 
número. 

Há um ponto curioso aqui porque esta última definição parece incluir a anterior. 
Afinal, segundo Euclides, um número primo é medido pela unidade. A verdade 
é que, para os gregos daquela época, a unidade não era considerada um número. 
No Livro XIV da Metafísica, Aristóteles nos diz que ‘o um’ significa uma 
unidade de medida, e depois de identificar várias dessas unidades, continua 
‘O um’ significa a medida de alguma pluralidade, e ‘núme¬ 
ro’ significa uma pluralidade que foi medida e uma plura¬ 
lidade de medidas. (Assim é natural que um não seja um 
número; porque a medida não é uma medição, mas ambos 
a unidade de medida e o um são pontos de partida). 

Como veremos na seção 1 do capítulo 1, continuamos excetuando o 1 tanto do 
domínio dos primos, quanto dos compostos, embora por razões muito diferen¬ 
tes dos gregos de 2300 anos atrás. 

Os gregos também chamavam os números compostos de secundários, e 
a explicação para isso pode ser encontrada nos Elementos. Na proposição 31 
do mesmo Livro VII, Euclides mostra que todo número pode ser dividido por 
um primo. Portanto, os números compostos são secundários no sentido de que 
podem ser construídos a partir dos números primos (ou primários). Hoje em 
dia expressamos isto de uma maneira muito mais precisa usando o Teorema da 
Fatoração Única. Contudo, este teorema só foi enunciado e provado por C. F. 
Gauss, no século XIX. Voltaremos a isto um pouco mais adiante. 

Euclides viveu em Alexandria, e trabalhou na grande Biblioteca, que além 
de repositório de livros, era um importante centro de pesquisas da época; e é 



INTRODUÇÃO 


a um outro matemático de Alexandria que caberia o mérito de descobrir o pri¬ 
meiro procedimento prático para achar primos, o Crivo de Eratóstenes. Além 
de matemático, Eratóstenes foi um geógrafo importante que ficou famoso por 
medir a circunferência da Terra. Por sua proficiência em muitos dos ramos 
do conhecimento foi apelidado de ‘Pentatlos’ por seus contemporâneos, em 
referência ao esporte olímpico em que o atleta participa de cinco provas dife¬ 
rentes. Nicômaco, um matemático que atuou por volta de 100 d. C., descreveu 
o método de Eratóstenes para achar primos da seguinte maneira: 

O método para obtê-los [os números primos] é chamado 
por Eratóstenes uma peneira [crivo], porque tomamos os 
números ímpares misturados de maneira indiscriminada e, 
por este método, como se fosse pelo uso de um instrumento 
ou peneira, separamos os primos ou indecomponíveis dos 
secundários ou compostos. 

Portanto, o crivo atua como uma espécie de peneira que retém os números 
primos, mas deixa passar os compostos. Estudaremos o crivo em detalhes na 
seção 3 do capítulo 1. 

Da Grécia Antiga passamos para a Europa do século XIX. Isto não sig¬ 
nifica que a teoria de números não tenha feito muitos avanços neste ínterim; 
basta lembrar Diofanto, Fermat e Euler, que serão mencionados mais adiante. 
Contudo, muito do que foi feito não diz respeito diretamente ao problema que 
mais nos interessa: como determinar que um número dado seja primo. 

Nossa primeira parada é em 1801 quando o jovem C. F. Gauss, então com 
apenas 24 anos, publicava uma das mais importantes obras matemáticas do 
século, a Disquisitiones Arithmeticae. Foi neste livro que Gauss deu, como 
já dissemos anteriormente, a primeira demonstração satisfatória do Teorema 
da Fatoração Única para os inteiros. Do nosso ponto de vista, o outro ponto 
alto desta obra foi a definição da congruência módulo um inteiro positivo, que 
desempenha um papel central em quase tudo o que faremos neste livro. A 
notação para a congruência que usamos hoje em dia é a mesma introduzida por 
Gauss nas Disquisitiones. 

O interesse de Gauss pela teoria de números começou muito cedo. Dez 
anos antes da publicação das Disquisitones, e com apenas 14 anos, Gauss es¬ 
crevera no verso da folha de uma tábua de logaritmos 

Primzahlen unter a (= oo) ^ . 

lo 

Que uma vez decifrado (e traduzido), significa 

A quantidade de primos (positivos) menores que um inteiro 
a > 0 se aproxima de a/ ln a quando a fica muito grande. 

Para entender o significado deste resultado, devemos recuar novamente à 
Grécia Antiga. Na proposição 20 do Livro IX dos Elementos, Euclides prova 
que existe uma infinidade de primos; veja a seção 5 do capítulo 3 de [Couti- 
nho 2001] para mais detalhes. Levando isto em conta, temos que o estoque de 
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primos menores que um inteiro positivo n aumenta, à medida que n aumenta. 
Isto nos dá um número progressivamente maior de primos com os quais cons¬ 
truir novos números compostos. Portanto, é de esperar que haja intervalos cada 
vez maiores formados por números compostos entre dois primos consecutivos. 
Escrevendo n(x) para o número de primos positivos menores ou iguais a um 
número x > 0 , isto sugere que n(x) deve crescer cada vez mais devagar à 
medida que x aumenta. 

Gauss, entretanto, foi ainda mais longe. Ele percebeu que, para valores 
grandes de x, a função n(x) está muito próxima de ser igual a x/lnx; ou, em 
uma formulação mais precisa 



Gauss deve ter chegado a esta conclusão a partir da análise de listas de primos: 
sabe-se que ele estudou os primos até 3 milhões. Fórmulas semelhantes para o 
número de primos eram conhecidas de Legendre e Euler. 

Como nem Gauss, nem seus antecessores, deram demonstrações para suas 
fórmulas, o primeiro resultado matematicamente provado sobre a distribuição 
dos primos só viria com a publicação, em 1848, do artigo Sur les nombres 
premiers , do matemático russo P. L. Chebyshev. Nele, Chebyshev mostrou que 

0,922 1,105, 

para todo x > 3. Provaremos uma versão muito fraca de uma destas desigual¬ 
dades na seção 4 do capítulo 1. 

É fácil mostrar, a partir do resultado de Chebyshev, que o limite da função 
tt{x) ln x quando x tende a infinito, tem que ser 1 , desde que se saiba que 
o limite existe. Isto, porém, só seria provado em 1896, independemente por 
J. Hadamard e C.-J. de La Vallé Poussin. Este resultado é conhecido hoje em 
dia como o Teorema dos Números Primos. Uma descrição mais detalhada da 
história deste teorema pode ser encontrada em [Bateman e Diamond 1996]. 

No artigo 329 das Disquisitiones Gauss escreveu que 

O problema de distinguir números primos de compostos, e 
de resolver números compostos em seus fatores primos, é 
um dos mais importantes e úteis de toda a aritmética. (...) 

A dignidade da ciência parece pedir que toda ajuda para 
a solução de um problema tão elegante e celebrado seja 
zelosamente cultivada. 

Apesar disto, a verdade é que seu livro empurrou a teoria de números em uma 
direção bem diferente. Nas mãos dos principais sucessores de Gauss, especial¬ 
mente Kummer e Dedekind, a teoria de números ficou cada vez mais algébrica. 
Isto se deu, em parte, por influência dos problemas que estes matemáticos abor¬ 
daram. 

O mais famoso destes problemas foi, sem dúvida, o Último Teorema de 
Fermat. Fermat havia sido o maior expoente da teoria dos números no século 
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XVII, além de ser um dos precursores do cálculo e da geometria analítica. 
Um livro que teve grande impacto sobre Fermat foi a (então recém traduzida) 
Álgebra do matemático grego Diofanto, que viveu por volta de 250 d. C.. Fer¬ 
mat escreveu muitos comentários à margem de sua cópia da obra de Diofanto 
e, após sua morte, seu filho Samuel publicou uma edição da Álgebra incluindo 
as anotações que seu pai havia feito. Na mais famosa destas anotações, Fermat 
declara ter uma bela demonstração do fato de que se x, y e z são inteiros que 
satisfazem a equação x n +y n = z" , onde n > 2, então um destes três números 
tem que ser zero. “Porém”, ele conclui, “esta margem é muito estreita para es- 
crevê-la”. Como se sabe o resultado foi finalmente provado por A. Wiles em 
1995. 

As muitas tentativas frustradas de provar o Último Teorema de Fermat, 
feitas ao longo dos anos, levaram, em alguns casos, ao desenvolvimento de 
áreas inteiramente novas da matemática. Foi o que aconteceu com E. Kummer 
em 1844. A estratégia de Kummer consistia em fatorar o polinómio x p + y p , 
quando p fosse primo. Isto só é possível se introduzirmos números complexos. 
Naturalmente, ao fazer isto, saímos do domínio dos números inteiros e passa¬ 
mos a operar em um subconjunto dos complexos. Este novo conjunto partilha 
muitas das boas propriedades dos inteiros, entre elas o fato de que cada um de 
seus elementos pode ser escrito como um produto de elementos irredutíveis, 
definidos de maneira semelhante aos primos em Z. Infelizmente, a fatoração 
em irredutíveis nestes conjuntos não é única, e a demonstração inicial de Kum¬ 
mer mostrou-se incorreta. Para restabelecer alguma forma de unicidade para 
esta fatoração, e salvar sua idéia ao menos em parte, Kummer introduziu o que 
chamou ideais. Generalizado, mais tarde, por Dedekind este se tornou um dos 
conceitos fundamentais da álgebra moderna, e dedicaremos a ele boa parte do 
capítulo 3. 

Os métodos atualmente utlizados em álgebra surgiram originariamente de 
duas fontes: a teoria de ideais e a teoria de equações. Esta última estuda os 
métodos algébricos utilizados para resolver equações polinomiais. Mais preci¬ 
samente, almeja-se obter uma fórmula explícita para as raízes de uma equação 
polinomial em função dos coeficientes da equação. Além do mais, esta fórmula 
deve usar apenas as operações básicas: adição, subtração, multiplicação, di¬ 
visão e extração de raízes. 

Em 1801, ano em que as Disquisitiones foram publicadas, o estado desta 
teoria era um pouco incerto. Desde a Renascença, conheciam-se fórmulas 
algébricas explícitas se a equação tivesse grau 2, 3 ou 4. Porém, ao analisar 
e generalizar o método pelo qual estas fórmulas haviam sido obtidas, J. L. La- 
grange descobriu, em 1770, que ele não poderia funcionar para equações de 
grau maior ou igual a 5. 

Não tardaria, porém, até que o problema fosse completamente resolvido. 
O primeiro resultado conclusivo foi a demonstração pelo matemático noru¬ 
eguês N. H. Abel de que uma equação geral de grau maior ou igual a 5 não 
admite nenhuma fórmula do tipo desejado. Pouco tempo depois, E. Galois da¬ 
ria um critério explícito que pode ser usado para decidir se é ou não possível 
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expressar as raízes de uma equação em termos dos coeficientes, usando apenas 
as operações fundamentais. 

A idéia central da teoria desenvolvida por Galois é de considerar as várias 
maneiras pelas quais é possível permutar as raízes de um polinómio sem alterá- 
lo. Ao conjunto destas permutações Galois deu o nome de grupo da equação. 
Apesar deste nome ter sido introduzido por Galois, a idéia de grupo já existia, 
em forma latente, tanto no trabalho de Abel quanto no de Lagrange. 

A teoria de grupos logo se difundiu para outros ramos da matemática, 
entre eles a geometria e a teoria de números. A enorme gama de aplicações 
dos grupos levaria os matemáticos a estudá-los por si mesmos, dando lugar à 
teoria de grupos, de que trata o capítulo 2. Na verdade, vários teoremas das 
Disquisitiones de Gauss podem ser encarados como uma forma incipiente de 
resultados mais gerais da teoria de grupos. 

O desenvolvimento da álgebra, incluindo a teoria de grupos e o estudo 
dos ideais, ocupou alguns dos maiores matemáticos do fim do século XIX e 
início do século XX. Nascidos em grande parte no seio da teoria de números, 
estes conceitos passaram a ser utilizados para explorar não apenas os inteiros, 
mas também outros domínios de números com propriedades semelhantes. En¬ 
quanto isto acontecia, o estudo da fatoração de inteiros e dos métodos para 
determinar se um número é primo avançavam, modestamente, nos bastidores. 

Um dos maiores expoentes do estudo dos testes de primalidade na segunda 
metade do século XIX foi o francês F. E. A. Lucas. Ao contrário de outros 
matemáticos da mesma época, que estudavam ideais e grupos, Lucas nunca 
obteve um posto universitário. Depois de trabalhar no Observatório de Paris, 
ele assumiu a posição de professor de Liceu, até a sua morte em 1891. 

Por muito tempo a fama de Lucas esteve associada a seu livro Récréations 
Mathématiques , hoje considerado um clássico no assunto. Entretanto, Lucas 
também descobriu vários métodos para verificar se um número é primo, esta¬ 
belecendo o princípio básico utilizado por muitos dos testes que usamos atual¬ 
mente. Seu maior sucesso nesta área foi o teste de primalidade que descobriu 
para números de Mersenne, e que ele usou para mostrar que 2 127 — 1 é primo. 
Este continua sendo o maior primo descoberto sem o uso de um computador. 
Refinado por D. H. Lehmer, este teste continua em uso até hoje. Para mais 
detalhes veja a seção 4 do capítulo 9 de [Coutinho 2001]. 

Aliás, Lehmer foi um dos pioneiros no uso do computador em teoria de 
números. Como parte do esforço de guerra entre 1945-46, Lehmer ficou res¬ 
ponsável em ajudar na operação do ENIAC (sigla que significa “Electronic 
Numerical Integrator and Calculator”), utilizado pelas forças armadas ameri¬ 
canas para resolver problemas de balística. Nos poucos fins de semana em que 
o ENIAC estava ocioso, Lehmer e sua esposa, que também era matemática, 
usavam a máquina noite adentro, para obter informações sobre diversos pro¬ 
blemas de teoria de números. 

Durante a maior parte do século XX, o estudo dos testes de primalidade 
continuou sendo apenas um tópico secundário em matemática, e esta situação 
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só iria mudar a partir da década de 1970. Duas coisas contribuiriam para isso. 
A primeira, foi o desenvolvimento de novos sistemas de criptografia, como o 
RS A e o El Gamai, para cuja implementação é necessário ter à disposição um 
estoque de primos grandes. A segunda, foi a construção de computadores cada 
vez mais poderosos, que tornaram possível aplicar testes cujo custo computa¬ 
cional excedia, em muito, o que uma pessoa, ou mesmo um grupo de pessoas, 
podia fazer. 

Um dos testes que se tornaram mais populares desde então foi original¬ 
mente publicado, em russo, por M. Artjuhov em 1967. Este teste é o aperfei¬ 
çoamento de um outro, que já era conhecido desde o século XVII. O ponto de 
partida de ambos os testes é um resultado de Fermat, segundo o qual, 

se p é um primo, então a p_1 — 1 é divisível por p, sempre 
que a for um inteiro que não é divisível por p. 

O teste mais antigo consistia em observar que, se descobrirmos um número 
0 < a < n tal que a n ~‘~ í — 1 não é divisível por n, então n é composto. De 
fato, se n fosse primo, então não poderia dividir a, já que a < n e, portanto, 
a" -1 — 1 teria que ser divisível por n pelo resultado de Fermat. 

Alguns matemáticos chegaram a acreditar que a recíproca deste teorema 
de Fermat seria verdadeira. Se fosse este o caso, bastaria testar se 2 n_1 — 1 é 
divisível por n, para provar que um número n > 2 é primo. Entretanto isto é 
falso. Como veremos no capítulo 4, mesmo que a" -1 — 1 seja divisível por n 
para muitos valores diferentes de a não podemos garantir que n seja primo. 

O teste de Artjuhov foi redescoberto dez anos depois por J. Selfridge, e 
popularizado pelos trabalhos de G. Miller e M. Rabin. Hoje em dia este teste é a 
base da maioria dos métodos “rápidos” pelos quais os sistemas de computação 
algébrica certificam que um número é primo. Entretanto, como veremos no 
capítulo 4, o método de Artjuhov não garante que um número é primo. Na 
versão de Rabin, o teste apenas certifica que há uma probabilidade P de que o 
número seja primo. Contudo, podemos refinar o teste de modo a fazer P tão 
pequena quanto desejarmos, ainda que há um custo computacional maior. 

Com isso nos deparamos com a questão de quanto custa mostrar que um 
dado número é primo. Do ponto de vista prático, a situação, ao final do século 
XX, apresentava dois grupos diferentes de testes. De um lado havia os testes 
rápidos, mas que só garantem que o número é “provavelmente primo”, ao estilo 
de Artjuhov e Rabin. De outro, havia os testes mais lentos, mais que provavam 
primalidade, como o que foi proposto por Lucas em 1876. Este teste é baseado 
no fato de que 

seo>0en>l são inteiros tais que a n ~ 1 = 1 (mod ri), 
mas ^ 1 (mod ri) para todo primo q que divide 

n — 1, então n é primo. 

O problema em aplicar este teste, e outros como ele, é que, além de ter que 
achar um a adequado, precisamos ser capazes de fatorar n — 1 completamente 
o que, geralmente, só pode ser feito a um custo muito alto. 
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O estudo da complexidade dos algoritmos, que tomou forma com os tra¬ 
balhos de J. Hartmanis e R. E. Stearns, a partir dos anos 1960, permitiu catego¬ 
rizar estes dois tipos de testes de uma maneira mais conceituai. Assim, temos 
de um lado os algoritmos cujo tempo de execução é uma função polinomial 
do tamanho da entrada. A esta categoria pertence o teste de Rabin. De outro, 
temos os testes cujo tempo de execução é uma função exponencial da entrada. 
Um teste de primalidade exponencial bastante elementar é baseado no seguinte 
resultado, conhecido como teorema de Wilson, 

n é primo se, e somente se, (n — 1)! = — 1 (mod n). 

Neste caso, o problema é que não conhecemos algoritmos polinomiais para 
calcular (n — 1)! módulo n. 

Estes testes estão longe de esgotar a enorme variedade de métodos utiliza¬ 
dos para verificar que um número é primo, e que incluem, por exemplo, o teste 
da curva elíptica e o teste proposto por Adleman, Pomerance and Rumely em 
1983. Este último tem a distinção de ser um algoritmo subexponencial; isto é, 
seu tempo de execução é uma função que, apesar de não ser polinomial, não 
cresce tão rapidamente quanto uma exponencial. 

Era este, essencialmente, o estado das coisas em agosto de 2002 quando 
Manindra Agrawal, Neeraj Kayal e Nitin Saxena divulgaram seu artigo na web. 
Chamado de Primes is in P, o artigo detalha um algoritmo de primalidade que 
não apenas prova que um número dado é primo (ou composto), mas que tem 
um tempo de execução que é uma função polinomial da entrada. O impacto foi 
imediato, até porque o teste não é apenas muito fácil de descrever, mas seu fun¬ 
cionamento depende apenas de métodos algébricos elementares (grupos, anéis 
e corpos) bem conhecidos de qualquer aluno de graduação em matemática. 
O único resultado realmente sofisticado utilizado no artigo de Agrawal, Kayal 
e Saxena dizia respeito à distribuição de primos em um intervalo, e era ne¬ 
cessário, apenas, para mostrar que o algoritmo operava em tempo polinomial. 

Não tardou para que o algoritmo fosse modificado, melhorado e gene¬ 
ralizado. Passados dois anos da divulgação do artigo na web, já há versões 
do algoritmo, agora conhecido como AKS, que utilizam apenas resultados ele¬ 
mentares, mesmo para a análise do custo do algoritmo. Além disso, há o enten¬ 
dimento de que este é o primeiro de uma nova classe de algoritmos, conhecidos 
como algoritmos ciclotômicos ou do tipo AKS. 

O objetivo deste livro é dar uma descrição completa e detalhada de uma 
versão do algoritmo AKS devida a H. W. Lenstra Jr. Assumimos como pré- 
requisito apenas um conhecimento básico de teoria de números, ao nível de 
[Coutinho 2001]. Todo o resto será exposto aqui. 

No capítulo 1 tratamos de uma miscelânea de resultados básicos sobre pri¬ 
mos que vão, desde a definição de primo e o Teorema da Fatoração Única na 
seção 1, até uma versão muito simplificada do resultado de Chebyshev sobre a 
distribuição de primos, na seção 4. A seção 2 é dedicada ao estudo da comple¬ 
xidade dos algoritmos utilizados em teoria de números, e os conceitos que lá 
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introduzimos são usados na seção 3 para fazer uma análise do custo do Crivo 
de Eratóstenes. 

Os dois capítulos seguintes são dedicados ao estudo das estruturas algé¬ 
bricas mais elementares: grupos abelianos no capítulo 2, e anéis e corpos no 
capítulo 3. Isto corresponde, como vimos acima, ao início do desenvolvimento 
da álgebra moderna no século XIX. A maior parte do capítulo 2 é mera re¬ 
visão do capítulo 7 de [Coutinho 2001]. A principal diferença está na seção 4, 
em que introduzimos os grupos quocientes, que desempenham um papel im¬ 
portante na demonstração do algorimo AKS. Já o capítulo 3 é uma introdução 
aos elementos da teoria de anéis, com ênfase nos anéis de polinómios. Neste 
capítulo estabelecemos, também, os conceitos de ideal e de anel quociente, 
e provamos o Teorema da Fatoração Única para polinómios em uma variável 
sobre um corpo. Estes dois capítulos podem ser omitidos, caso você já tenha 
conhecimentos de álgebra equivalentes ao do final de um curso de graduação 
em matemática. 

O capítulo 4 prepara o terreno para o AKS, descrevendo não apenas al¬ 
guns dos resultados que usaremos na demonstração daquele algoritmo, como 
também o teste de primalidade probabilístico de Rabin, mencionado acima. Fi¬ 
nalmente, o capítulo 5 é completamente dedicado ao algoritmo AKS. Além de 
descrevê-lo em detalhes, provamos que funciona corretamente e que seu tempo 
de execução é uma função polinomial da entrada. 

Curiosamente, uma das etapas do AKS foge completamente à linha de re¬ 
sultados de teoria de números e álgebra que formam a espinha dorsal deste 
hvro. Isto ocorre porque o resultado fundamental do qual depende o funciona¬ 
mento do AKS garante apenas que o número que está sendo testado é potência 
de um primo. Contornamos este problema verificando se o número dado é uma 
potência de inteiro, antes mesmo de aplicar o algoritmo propriamente dito. 
Para isto usamos uma variação (módulo 2) do método inventado por Newton 
para achar raízes de uma equação. Este procedimento é discutido em detalhes 
no apêndice. 

Finalmente, o epílogo contém algumas considerações finais sobre prima- 
lidade e o algoritmo AKS, incluindo referências sobre questões relativas à sua 
implementação. 




Capítulo 1 
Primos 


Neste capítulo relembramos o que significa um número ser primo e discu¬ 
timos o mais antigo dos métodos utilizados para encontrar primos, o crivo de 
Eratóstenes. Apesar de ser muito fácil de programar, o crivo não é adequado 
para encontrar primos grandes. Para poder explicar o porquê desta última 
afirmação, formalizamos na seção 2 a noção de custo de execução de um al¬ 
goritmo. A última seção é dedicada a alguns resultados elementares sobre a 
distribuição dos primos que serão utilizados para estudar o custo do algoritmo 
AKS, no capítulo 5. 

1. Primos 

Dizemos que um número inteiro não nulo p f ±1 é primo, se os únicos fatores 
de p são ±1 e ±p. Um número inteiro não nulo n/±l, que não é primo, é 
chamado de composto. 

Observe que 0 e ±1 não são compostos, nem primos. Ao passo que a 
exclusão do 0 parece natural, por causa das propriedades peculiares do 0 com 
respeito à divisão, o mesmo não se pode dizer de ±1. Afinal, não podemos 
fatorar 1, nem —1, como produto de dois inteiros menores (em valor abso¬ 
luto!), portanto eles deveriam figurar como primos. A razão pela qual isto não 
acontece está ligada ao seguinte teorema. 

Teorema DA FatoRAÇÃO ÚNICA. Dado um inteiro positivo n > 2 
podemos sempre escrevê-lo, de modo único, na forma 

n = p{ 1 ...p e k k , 

onde 1 < pi < ■ ■ ■ < Pk são números primos e e-i,..., e/ c são inteiros positi¬ 
vos. 


Observe que o teorema nos diz duas coisas. Em primeiro lugar, uma 
fatoração na forma do teorema existe ; em segundo, ela é única. Para enten¬ 
der o significado da unicidade da fatoração, imagine a seguinte situação. Dis¬ 
tribuímos um certo inteiro n > 2 entre várias pessoas, e pedimos que decom¬ 
ponham n na forma dada pelo teorema. Mesmo deixando estas pessoas livres 
para escolherem o método pelo qual chegarão à decomposição desejada, a uni¬ 
cidade da fatoração garante que todos encontrarão a mesma decomposição. 




Podemos, agora, explicar porque 1 e — 1 não podem ser contados entre os 
números primos. O problema é que, se fizermos isto, perderemos a unicidade 
da fatoração no teorema acima. Por exemplo, a única maneira de fatorar 12 
na forma do teorema é escrever 12 = 2 2 • 3. Mas se 1 e — 1 fossem primos, 
teríamos muitas outras fatorações distintas possíveis, como 

12 = 1 • 2 2 • 3 = l 2 • 2 2 • 3 = l 5 • 2 2 • 3, 

e assim por diante. Na verdade, cada número composto admitiria uma infini¬ 
dade de fatorações distintas. Tendo em vista a enorme utilidade da unicidade 
da fatoração, excluir ±1 dentre os primos parece um pequeno preço a pagar em 
vista de um bem maior. Voltaremos a discutir o papel dos números ±1 quando 
estudarmos a fatoração de polinómios no capítulo 3. 

Como vimos na introdução, este teorema também oferece uma explicação 
da razão pela qual os números primos têm este nome. Afinal, estes números 
podem ser usados como tijolos na construção de todos os números inteiros. 
Portanto, os números primos são aqueles que “vêm primeiro”, no sentido de 
serem mais fundamentais. 

Dada a importância do Teorema da Fatoração Única, não podemos passar 
adiante sem comentar sobre a sua demonstração. Na verdade, há duas coisas 
distintas a provar: a existência e a unicidade da fatoração. Ao passo que um 
argumento bastante elementar é suficiente para provar a existência da fatoração, 
a unicidade é muito mais sutil. É por isto que, embora os matemáticos venham 
assumindo a unicidade da fatoração desde a Grécia Antiga, uma demonstração 
satisfatória deste fato só foi dada por C. F. Gauss no século XIX. Relembramos, 
a seguir, o algoritmo de tentativa e erro geralmente utilizado para determinar a 
fatoração de um número. A demonstração da unicidade da fatoração aparece 
como o exercício 13 do capítulo 3. Veja também [Coutinho 2001, capítulo 2, 
seção 8]. 

Começaremos descrevendo um algoritmo bastante ingênuo, que encontra 
apenas um fator de um inteiro positivo n dado. O algoritmo simplesmente tenta 
dividir n por cada um dos inteiros de 2 a n — 1. Se algum destes inteiros dividir 
n, então achamos um fator de n. Se nenhum fator menor que n for encontrado, 
então n é primo. 

Uma característica notável deste algoritmo, é que sempre encontra um fa¬ 
tor primo de n. Para entender o porquê desta afirmação, suponhamos que n 
seja composto e que / > 2 seja o fator de n encontrado pelo algoritmo. Se 
f > 1 for um fator primo de /, então pela definição de divisibilidade, existem 
inteiros a e b tais que 

n = fa e ./' = f'b. 

Logo n = f ■ ab. Contudo, o algoritmo varre os inteiros, do menor ao maior, 
à procura de fatores, de modo que / será sempre o menor fator positivo de 
n. Como já vimos que f também é fator de n, concluímos que f > /. 
Entretanto, como f divide /, temos também que 1 </'</. Mas isto só é 
possível se f = /; provando assim que / é primo. 




Há ainda uma outra observação que precisamos fazer, e que leva a uma 
melhora da performance do algoritmo. Conforme descrevemos acima, o al¬ 
goritmo apenas executa uma busca de fatores, começando de 2. Se nenhum 
fator menor que n for encontrado, então o número é primo. Contudo, como 
o fator de um número composto encontrado pelo algoritmo sempre é o menor 
possível, podemos parar de executá-lo muito antes de chegar a n — 1. De fato 
se n for composto e seu menor fator primo for /, então existe um inteiro posi¬ 
tivo a tal que n = fa. Como a também é fator de n, temos ainda que f < a. 
Substituindo esta desigualdade em n = fa, obtemos 

n = fa> f 2 , donde / < y/n. 

Isto significa que, se n for composto, então seu menor fator primo será menor 
ou igual a y/n. Portanto, se o algoritmo não encontrar nenhum fator primo até 
a raiz quadrada do número ao qual está sendo aplicado, então este número é 
primo. 

Resumindo o que vimos até agora: o algoritmo deve buscar um número 
que divida n, começando de 2 e avançando, de um em um, até y/n. Se n for 
composto, encontraremos o menor fator de n por este método, e este fator é 
necessariamente primo. Se nenhum dos números pesquisados é fator de n, isto 
significa que n é primo. Reunindo tudo o que já fizemos, podemos descrever 
as etapas do algoritmo como segue. 

Algoritmo de fatoração 
Entrada: inteiro positivo n > 2. 

Saída: inteiro positivo / que é o menor fator primo de n ou uma mensagem 
indicando que n é primo. 

Etapa 1 : Comece fazendo F = 2. 

Etapa 2: Se F > y/n escreva n é primo e páre. 

Etapa 3: Sen/F é inteiro escreva ‘F é fator de n’ e páre; senão, incremente 
F de uma unidade e volte à Etapa 2. 

De posse deste algoritmo, podemos encontrar a fatoração completa de 
qualquer inteiro positivo na forma dada pelo teorema. Suponhamos que n > 2 
é composto. Aplicando o algoritmo descrito acima a n, encontramos seu me¬ 
nor fator, que chamaremos de 91. A seguir aplicamos o algoritmo novamente, 
só que desta vez ao co-fator n/<p. Se n/9-1 for primo já achamos a fatoração 
completa de n. Se não for, teremos determinado um segundo fator primo de n, 
que vamos chamar de 92. É claro que q\ < 92, mas pode acontecer que sejam 
iguais, basta que q\ divida n. Continuando, aplicamos o algoritmo ao co-fator 
n /(qiQ2), e assim por diante. Como a seqüência dos co-fatores 

n > — > > —-— > • • • > 0 

qi 9x92 519293 

é decrescente, este procedimento vai ter que parar em algum momento. Quando 
isto acontecer teremos determinado a fatoração completa de n em primos. 




O problema deste algoritmo é que ele é extremamente ineficiente; isto é, 
ele leva muito tempo para achar um fator se aplicado a um número relativa¬ 
mente grande. Mas como se mede o tempo de execução de um algoritmo de 
maneira precisa? Este é o tema da próxima seção, ao final da qual analisamos, 
em detalhe, como se comporta o tempo de execução do algoritmo de fatoração 
descrito acima. 

2. Custo de um algoritmo 

Nesta seção tratamos de como medir o custo, ou tempo de execução, de um 
algoritmo. Esta é uma área enorme da teoria de algoritmos, e não pretendemos 
discutir mais do que o mínimo necessário para nossas necessidades neste livro. 

Uma boa medida do custo de um algoritmo do tipo que estamos conside¬ 
rando é a quantidade de operações aritméticas elementares que são realizadas 
ao executá-lo. Por operação aritmética elementar entendemos uma operação 
efetuada sobre algarismos, seja ela adição, subtração, multiplicação, divisão 
ou cálculo do resto. Além disso, como desejamos implementar os algoritmos 
em um computador, estaremos pensando em termos de algarismos binários, ou 
bits. 

Naturalmente, a quantidade de operações aritméticas elementares que são 
executadas depende do tamanho da entrada que é fornecida ao algoritmo. Por 
exemplo, para calcular o dobro de 1000 precisamos realizar mais operações do 
que para calcular o dobro de 100. 

Começaremos por analisar quantas operações são necessárias quando so¬ 
mamos dois inteiros. Sejam 

a = (ak- 1, • • •, Oi, a 0 )2 e b = (bk- 1, •. •, &i, 60)2, 
as representações binárias dos inteiros a e b. Isto significa que cada um dos 
números ao,..., ak- 1,60,, bk -1 é 0 ou 1 e que 

a = ük— i2 fc 1 ‘J- • • • + ai2 + ao e b = bk- i2 fc 1 + • • • + òi2 + bg. 

Para efetuar a soma da maneira usual, começamos calculando ao + òo- Se este 
número for menor que 2, então so = «o + 60 é o algarismo das unidades de 
a + b. Por outro lado, se ao + i>o = 2, então sg = 0 e vai 1. O tanto que ‘vai’ 
para a próxima etapa é conhecido como reserva. Seja como for, efetuamos até 
aqui apenas uma operação aritmética elementar. 

Na próxima etapa cacularemos a\ + b\ se a reserva é 0, ou a-\ + b-\ + 
1, se houve reserva não nula. Já aqui a coisa se complica, porque teremos 
que realizar uma ou duas operações aritméticas elementares, dependendo se a 
reserva é ou não nula. Daí em diante o processo segue o mesmo padrão. 

Quantas operações aritméticas elementares realizamos, afinal de contas? 
É difícil dizer exatamente, porque o resultado depende de quantas reservas não 
nulas apareceram ao longo da conta, e isto varia de número para número. Entre¬ 
tanto, é claro que não precisamos efetuar mais do que 2 k operações aritméticas 
elementares, neste caso. 
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Antes de continuar precisamos chamar a atenção para o fato de que há 
muitas outras operações que um computador tem que realizar para efetuar 
uma soma, e que não foram incluídas entre o que chamamos de operações 
aritméticas elementares. Uma destas é a comparação de bits; usada, por exem¬ 
plo, para ver se a reserva é zero. Mas há outras, algumas que sequer dizem 
respeito a números inteiros, como é o caso do acesso à memória. Apesar des¬ 
tas operações afetarem o tempo que o computador leva para executar um dado 
algoritmo, vamos ignorá-las e nos concentrar apenas no número de operações 
aritméticas elementares como as definimos. Uma razão para isto é que este 
número é menos dependente da implementação que foi feita para o algoritmo, 
ou do computador onde o programa está rodando. 

Passemos à multiplicação. Quantas operações aritméticas elementares 
serão necessárias se quisermos multiplicar a por 6? Utilizando o algoritmo 
usual, precisamos multiplicar primeiro b por cada bit de a e depois somar os re¬ 
sultados. Entretanto, ao multiplicar b por um bit a* de a efetuamos não apenas 
produtos de bits, mas também somas, porque pode haver reserva nos produtos! 
É claro que teremos exatamente k produtos elementares. Por outro lado, como 
não pode haver mais do que k — 1 reservas, teremos no máximo k — 1 somas. 
Assim, ao multiplicar b por a, não precisamos de mais do que 2k — 1 operações 
aritméticas elementares. Logo, para calcular o produto de b por cada um dos 
bits de a, teremos que realizar, no máximo, k(2k — 1) operações aritméticas 
elementares. 

Só que, para calcular ab precisamos somar estes produtos de b por bits de 
a, sem esquecer a ordem de grandeza de cada bit! Em outras palavras, se 

büi = (c^fe+i,..., Cj,i, 0^0)2 

então a soma que vamos calcular pode ser escrita na forma 

C 0,fc+1 ■ • • Co, 1 C 0 ,0 

c\.k ■ I • • • «1,1 Ci ; o 

C2,fc+1 • • • C2,l C2,0 

Ck,k +1 • • • Ck,0 

O número de somas realizadas em cada coluna não pode exceder 2k, 
mesmo levando em conta as reservas. Como temos k colunas, podemos so¬ 
mar todos estes números a um custo de 2 k 2 somas elementares. Juntando tudo 
verificamos que, ao calcular ab, não precisamos realizar mais do que 4 k 2 — k 
operações aritméticas elementares. 

Você já deve ter notado que, para determinar o número aproximado de 
operações aritméticas elementares realizadas para calcular ab fizemos muito 
mais concessões do que quando tratamos da soma. O fato é que teremos que 
fazer mais e mais concessões do tipo “não pode haver mais do que” à medida 
que as operações que estamos analisando forem se complicando. Por isso, a 




prática corrente é de ignorar os detalhes da expressão obtida para a quantidade 
de operações aritméticas elementares e se concentrar apenas na maior potência 
de k que aparece na expressão desta quantidade. 

Formalizamos isto usando a notação O. Sejam / e g duas funções cujo 
contradomínio él,e cujo domínio éNoul. Dizemos que f(x) é 0(g(x)) se 
existem constantes C\ e C 2 tais que f(x) < C\g(x) sempre que x > C2. Um 
exemplo simples, mas que usaremos com freqüência, é o seguinte. Seja f(x) 
um polinómio de grau n com coeficients reais. Então, f(x) é 0(x n ). Para ver 

que isto é verdade, digamos que f(x) = a„x n H-h ao, onde a n ,..., a0 são 

números reais e a„ ^ 0. Escolha um número real b> a n . Como 


l / 0*0 = 

o bx n 


concluímos que, sempre que x for grande o suficiente, teremos f(x) < bx n . 
Mas isto significa que f(x) é 0(x n ), como havíamos dito. 

As seguintes propriedades da notação O são facilmente verificadas, e serão 
usadas a seguir sem maiores comentários; veja exercício 3. Suponha que 
/-i, f- 2 , g-\ e Q 2 são funções cujo contradomínio él, e cujo domínio é N (ou 
M). Se /1 é 0(31) e f 2 é 0(g 2 ), então 

(1) fi+f2éO(max{g 1 ,g2}),e 

( 2 ) /1/2 e 0(<7 i<72)• 

Em particular, se tanto /1, quanto / 2 , são (J{g-\ ), então ,/j + f '2 é 0{g%) e /i/ 2 
éO(gj). 

Usando esta notação, a soma de dois números de k bits tem custo 0(k) e 
a multiplicação tem custo 0(k 2 ). É igualmente fácil ver que a subtração tem 
custo 0(k), mas é muito mais difícil mostrar que a divisão pode ser realizada 
ao custo 0(k 2 ). Para mais detalhes veja [von zur Gathen e Gerhard 1999, p. 
38]. Como um inteiro positivo n tem, aproximadamente, log 2 n bits, podemos 
dizer que a soma de dois inteiros menores ou iguais a n pode ser calculada ao 
custo 0(log 2 n). Já a multiplicação e a divisão têm custo 0((log 2 n) 2 ). 

Muitos dos cálculos que faremos ao longo deste livro terão lugar emZ„,e 
não em Z. Por isso precisamos determinar o custo das operações com classes 
módulo n. Sejam ã,b £ Z r ,. Definimos a adição e a multiplicação de classes 
por 

a — b= a # ò e a - b = ab. 


Ou seja, primeiro efetuamos a operação correspondente com os representan¬ 
tes das classes em Z, depois reduzimos o resultado módulo n. Supondo que 
0 < a. b < n I, podemos calcular a + b ao custo 0(log 2 n) e ab ao custo 
0((l°g 2 n) 2 ). Para determinar o resíduo módulo n de a + b e de ab, devemos 
dividi-los por n e tomar o resto. Como a + b < 2 n e ab < n 2 , podemos dividi- 
los por n a um custo de 0((log 2 n) 2 ). Portanto, o custo total tanto da adição, 
quanto da multiplicação, em Z n será 0((log 2 n) 2 ). 

Encerramos a seção aplicando o que aprendemos para determinar o custo 
do algoritmo da seção 1 que acha um fator primo de um número n > 1. Em 
primeiro lugar precisamos determinar as operações aritméticas que o algoritmo 
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efetua. Uma olhada, mesmo que superficial, na descrição do algoritmo mostra 
que há duas operações: uma divisão na etapa 2 e uma soma na etapa 3. Além 
disso, cada uma destas operações é executada apenas uma vez, a cada laço 
que o algoritmo completa. Como os números que estão sendo somados são 
menores que y/n, a soma executada em cada laço terá custo 0(log 2 n). Já a 
divisão tem custo 0((log 2 n) 2 ) porque o dividendo é sempre n. Portanto, cada 
laço tem um custo da ordem de 0((log 2 n) 2 ). 

Falta ainda estimar o número de laços a serem executados. O pior caso 
possível ocorre quando n é primo. Neste caso, o algoritmo executa \_\fn\ laços 
a um custo de 0((log 2 n) 2 ) cada um, o que dá um custo total da ordem de 
0(n 1 / 2 ( log 2 n) 2 ). Lembre-se que, se a for um número real, então |_aj denota 
a parte inteira de a. 

Comparado aos algoritmos analisados anteriormente isto é muito ruim. 
De fato, temos neste caso uma função exponencial do número de bits, já que 
n 1 / 2 = 2 í]og2 n >/ 2 . Por causa disso, o número de operações aumenta muito ra¬ 
pidamente quando o número de bits da entrada cresce, o que torna o algoritmo 
muito lento. Por isso dizemos que o algoritmo de fatoração da seção anterior é 
ineficiente: o custo em executá-lo é muito alto. 

Podemos formalizar a diferença entre um algoritmo eficiente e um que não 
é eficiente, da seguinte maneira. Em primeiro lugar, vamos continuar medindo 
o custo de um algoritmo em função do número de bits da entrada n que, como 
já vimos, é aproximadamente igual a log 2 n. Seja, então, A um algoritmo e n 
um inteiro positivo que é entrada de A. Dizemos que A é um algoritmo po¬ 
linomial se o número de operações aritméticas elementares que ele executa é 
0((l°g 2 n) r ), para algum inteiro r > 0. Por outro lado, A é um algoritmo ex¬ 
ponencial se executa um número de operações aritméticas elementares que é de 
ordem 0(2 log 2(")) = 0(n), ou pior. Usando esta terminologia, um algoritmo 
é eficiente se é polinomial, porque um algoritmo exponencial vai ficando muito 
lento à medida que n cresce. Portanto, algoritmos polinomiais são rápidos, e 
algoritmos exponenciais são lentos. 

Esta seção apenas toca de raspão em uma área enorme, que estuda a com¬ 
plexidade dos algoritmos. Por exemplo, discutimos a eficiência dos algoritmos 
apenas em função do pior caso possível. Só que, para alguns algoritmos, o 
pior caso possível raramente ocorre, e uma medida mais realística é dada pela 
análise de como o algoritmo se comporta em média. Também ignoramos o uso 
de memória pelos algoritmos. Mas este pode ser um dado importante, como 
acontece, por exemplo, com o crivo de Eratóstenes que será o tema de nossa 
próxima seção. Para mais detalhes sobre a análise da complexidade de algorit¬ 
mos aplicada à teoria de números veja [Szwacfiter 1986], [Cormen, Leiserson 
e Rivest 1999, capítulo 33], [von zur Gathen and Gerhard 1999] ou [Knuth 
1999], 



3. Crivo de Eratóstenes 


O crivo de Eratóstenes é o mais antigo dos métodos para achar primos, e não 
envolve nenhuma fórmula explícita. Como vimos na introdução, ele funciona 
como uma espécie de peneira que, se aplicada aos inteiros positivos menores 
que n > 2, deixa passar os números compostos, mas retém os primos. Com 
isso, obtemos a lista completa dos primos positivos menores que n. Vejamos, 
em mais detalhes, como se faz isto. 

Para executar o crivo com lápis e papel podemos proceder da seguinte ma¬ 
neira. Listamos os ímpares de 3 a n. É claro que só listamos os ímpares porque 
2 é o único primo par. Começamos então a operar com o crivo propriamente 
dito. O primeiro número da nossa lista é 3: riscamos os demais números da 
lista, de 3 em 3. Assim serão riscados todos os múltiplos de 3, maiores que ele 
próprio. Em seguida procuramos o menor elemento da lista, maior que 3, que 
não tenha sido riscado, que é 5. Riscamos os demais números da lista, de 5 em 
5. Com isso serão riscados todos os múltiplos de 5 maiores que ele próprio. E 
assim por diante, até chegar a n. 

Por exemplo, sen = 80, a lista de números é 






3 

5 

7 

9 

11 

13 

15 

17 19 






21 23 

25 

27 

29 

31 

33 

35 

37 39 






41 43 

45 

47 

49 

51 

53 

55 

57 59 






61 63 

65 

67 

69 

71 

73 

75 

77 79 


Ao 

final 

da 

primeira passagem do 

crive 

»(de 3 

em í 

3), ficamos com 





3 

5 

7 

4 

11 

13 

45 

17 

19 




/21 

23 

25 

P 

29 

31 

43 

35 

37 

49 




41 

43 

A5 

47 

49 

41 

53 

55 

47 

59 




61 

J63 

65 

67 

49 

71 

73 

45 

77 

79 

Ao 

final 

da 

segunda passagem do 

crivo 

(de 5 

em 5) a lista é 






3 

5 

7 

4 

11 

13 

45 

17 

19 




P 

23 

45 

p 

29 

31 

43 

45 

37 

49 




41 

43 

45 

47 

49 

41 

53 

45 

47 

59 




61 


45 

67 

49 

71 

73 

45 

77 

79 

Ao 

final 

da 

terceira passagem do crivo 

(de 7 1 

em 7), a lista se torna 





3 

5 

7 

4 

11 

13 

45 

17 

19 




P 

23 

45 

p 

29 

31 

43 

45 

37 

49 




41 

43 

45 

47 

49 

41 

53 

45 

47 

59 




61 

A3 

45 

67 

49 

71 

73 

45 

47 

79 


Já ao final da quarta passagem do crivo (de 11 em 11), a lista continua a mesma 
acima. A quinta passagem seria de 13 em 13, mas novamente nada vai mudar 
na lista. Na verdade nenhuma passagem posterior do crivo vai eliminar nenhum 
número adicional desta lista. Logo os primos ímpares positivos menores que 



3. CRIVO DE ERATÓSTENES 


80 são 

3 5 7 11 13 17 19 23 29 31 

37 41 47 53 59 61 67 71 73 79. 

Este exemplo nos leva a observar algumas características do crivo. Em 
primeiro lugar, alguns números são riscados da lista mais de uma vez. É o caso 
de 15 que já havia sido riscado na primeira passagem (de 3 em 3), e foi riscado 
também na segunda (de 5 em 5). Em segundo lugar, já havíamos riscado da 
lista todos os números compostos na terceira passagem do crivo. Todas as 
passagens posteriores foram redundantes. 

Infelizmente não é possível evitar completamente o fato de que alguns 
números serão riscados várias vezes. Apesar disto, podemos melhorar um 
pouco o procedimento acima. Digamos que queremos achar os primos até 
n, e que estamos prestes a riscar os números de p em p, para algum primo p. 
É claro que os múltiplos de p, que também são múltiplos de primos menores 
que p, já foram riscados da lista. Portanto, nesta etapa, podemos começar a 
riscar de p em p a partir do menor múltiplo de p, que não é múltiplo de um 
primo menor que p; isto é, a partir de p 2 . Em particular, se estamos para riscar 
de p em p e se p > \/n, então o menor composto que ainda não foi riscado 
em uma etapa anterior seria p 2 > n, que está fora da tabela. Portanto, não há 
necessidade de riscar de p em p para p > sfn. No exemplo acima [\/80j = 8; 
por isso bastou riscar de 3 em 3, de 5 em 5 e de 7 em 7 para eliminar todos os 
compostos menores que 80. 

Resumindo: podemos riscar de p em p a começar de p 2 , e podemos parar 
de riscar quando p 2 > n. Isto evita algumas duplicações e torna o crivo um 
pouco mais econômico. 

Encerramos esta seção determinando o custo do crivo de Eratóstenes. Di¬ 
gamos que o crivo está sendo usado para achar os primos menores que um 
inteiro positivo n. Precisamos identificar quais as operações aritméticas que 
estamos efetuando ao executar o crivo, para podermos contá-las. Analisando a 
descrição do crivo com cuidado, verificamos que a única operação aritmética 
executada é a soma. Por exemplo, se vamos riscar os primos de p em p, preci¬ 
samos calcular 3 p, 5 p, 7p,.... Fazemos isto somando 2 p sucessivamente a p, 
a 3 p, a 5p, e assim por diante. Como os números que estão sendo somados são 
menores que n, cada soma tem custo inferior a 0(n). 

Para completar a análise precisamos determinar quantas somas estão sendo 
efetuadas. Mas fazemos uma soma para cada múltiplo ímpar de p menor que n. 
Logo basta saber quantos destes múltiplos existem entre 1 e n. Entretanto, para 
facilitar as contas mais adiante, contaremos apenas o número total de múltiplos 
de p entre len. Este número é aproximadamente o dobro do número de 
múltiplos ímpares, mas a diferença desaparece sob a notação O. 

Trataremos um caso mais geral, porque o mesmo problema vai sugir na 
próxima seção. Seja k > 0 um número inteiro. Se kt < n para algum inteiro 
positivo t, então t < [n/k \. Portanto, os múltiplos de k menores ou iguais a n 
são da forma 


kt onde k = 1,2,..., \n/k\. 
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Em outras palavras, existem exatamente \n/k\ múltiplos positivos de k meno¬ 
res que n. 

Suponhamos, mais uma vez, que estamos riscando de p em p. Já sabemos 
que existem \ n/p\ múltiplos de p menores que n. Somando um p de cada vez, 
começando em p até chegar a n, precisaremos efetuar, no máximo, \n/p\ so¬ 
mas para determiná-los todos. Como isto vai ser feito para cada um dos primos 
menores ou iguais a y/n, concluímos que teremos de executar, no máximo, 

l«/pJ < n /p 

pev(Vü) pev(VW) 

somas, onde V(k) denota o conjunto dos primos menores ou iguais a k. Entre¬ 
tanto, 

n/p < n < ny/n = n 3 / 2 . 

peP(v^) peP(v^) 

Logo, não precisamos efetuar mais do que n 3 / 2 somas, a um custo máximo 
de 0( log 2 n) cada uma, o que dá um custo total de 0(n 3 / 2 log 2 n). Como 
log 2 n < y/n se n > 4, então o custo do crivo de Eratóstenes é inferior a 
0(n 2 ). 

Fiéis a nosso lema de manter o livro elementar, fizemos a análise mais 
simples possível do custo do crivo que fosse compatível às necessidades do 
algoritmo AKS. Entretanto, isto produz um resultado bem pior do que o obtido 
por uma estimativa mais cuidadosa. De fato, é possível mostrar [Hardy e 
Wright 1994, Theorem 427, p. 351] que 

n/p = nlnlnn + 0(n). 

pev(V^) 

Usando esta estimativa, verificamos que o custo do crivo é 0(n ln ln n log 2 n ). 
Apesar deste resultado ser melhor do que o 0(n 3 / 2 log 2 n) obtido anterior¬ 
mente, vemos que se trata de um algoritmo exponencial. Contudo, o maior 
problema que se enfrenta ao executar o crivo em um computador não é tanto 
o tempo de execução, mas a enorme quantidade de memória que ele consome. 
Para mais detalhes veja [Crandall e Pomerance, seção 3.2.1]. 

4. Distribuição dos primos 

A análise do custo de uma das etapas do algoritmo AKS depende, de maneira 
crucial, de como os primos se distribuem. Como vimos na introdução, esta é 
uma área importante, e nada fácil, da teoria de números. Nesta seção prova¬ 
mos um resultado totalmente elementar sobre a distribuição de primos que é 
suficiente para mostrar que o algoritmo AKS é polinomial. 

Para simplificar a demonstração do teorema, isolamos do argumento um 
lema referente aos números binomiais. 
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LEMA 1.1. Seja n um inteiro positivo. Então, 



onde V{2n) é o conjunto dos primos menores ou iguais a 2n, e 

*-£(&-£])■ 

Além disso, k p < |_log 2 (2n)/log 2 pJ. 

Antes de provar o lema, observe que, apesar da soma que define k p incluir 
um número infinito de termos, apenas uma quantidade finita destes termos é 
não nula. De fato, se p m > 2 n, então 



Demonstração. Vimos na seção anterior que se k > 0 é um número 
inteiro, então existem \n/k\ múltiplos positivos de k menores que n. Usare¬ 
mos isto para determinar a multiplicidade de um primo p < n na fatoração de 
n\. Pelo argumento acima existem, entre len, 

\n/p\ múltiplos de p 
\n/p 2 \ múltiplos de p 2 
[n/p 3 \ múltiplos de p 3 


[n/p m J múltiplos de p m . 

Portanto, p deve ter multiplicidade 

p(n,p) = 

k= 1 

na fatoração de n\. Para ver que isto está correto, suponha que a = p m b < n e 
que p não divida b. Mas isto significa que a contribui com 1 à parcela \n/p k \ da 
soma p(n,p), para cada 1 < k <m. Portanto, a contribuição total de a à soma 
p(n,p ) é exatamente to, como esperado. Como já observamos anteriormente, 
a soma que define p(n,p) é finita, pois |_«/p r J = 0 se p r > n. 

Por outro lado, 

CHI- 

Assim, procedendo ao cancelamento dos termos comuns ao numerador e de¬ 
nominador, verificamos que um primo p <2n tem multiplicidade 

(1) p(2n,p)-2p(n,p) 

na fatoração de Ç 2 ")- Substituindo em (1) as fórmulas para p{2n,p) e p(n, p) 
obtidas acima chegamos ao resultado do lema. 
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Resta-nos provar a desigualdade final. Suponhamos que p s é a maior 
potência de p que divide 2n. Neste caso, a soma que define k p tem, no máximo 
s parcelas, pois \2n/p t \ = 0 para t > s. Por outro lado, se a = 2n/p m para 
algum m < s, então 

Deste modo, cada parcela da soma k p contribui, no máximo, 1 à soma total. 
Com isto k p não pode ser maior que s. Finalmente, de p s < 2 n segue que 
s log 2 p < log 2 (2n), donde 

k p < s < |_log 2 (2n)/log 2 pJ. 


Seja n > 0 um número inteiro. Definimos o primorial de n, denotado por 
n}, como o produto de todos os números primos positivos menores ou iguais a 
n. Por exemplo, 

12 # = 2-3-5-7-ll. 

O principal teorema desta seção nos dá uma desigualdade envolvendo um pri¬ 
morial. 


Demonstração. Seja m um inteiro positivo. Pelo lema 1.1, temos que 


onde kp < [log 2 2m/ log 2 p\. Como p > 2, temos que k p < [log 2 2rn\. 
Tomando r = Ll°g2 2/nJ, concluímos que 


) divide ]^[ p r = ((2m) lí ) r . 


2m(2m - 1) • • • (m + 1) _ 2m (2m - 1) (m + 2) (m+1) . 


2 m < ((2 mff. 

Seja, agora, m = n 2 . Então, 

2” 2 < (( 2 nyy 

Tomando logaritmos na base 2, verificamos que 

n 2 <(log 2 2n 2 )log 2 (((2n 2 )»)), 
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já que r = |_log 2 2n 2 J • Ou seja, 

/ log 2 (n-y/2)"\ 


log 2 (((2n 2 ) tt )). 


Como 2 log 2 \/2n/n < 1 para n > 4, então 

n < log 2 ((2n 2 ) # ). 


Portanto, 

2" < (2n 2 ) # , 

para todo n > 4. Uma verificação direta mostra que a desigualdade vale 
também quando n é 2 ou 3. 


A demonstração deste teorema é uma adaptação da prova do teorema de 
Chebyshev, enunciado na introdução. Veja também [Hardy e Wright 1994, 
seção 22.2] ou [Landau 2002, capítulo 8], Uma outra demonstração bastante 
simples do teorema de Chebyshev pode ser encontrada em [Nair 1982]. Para 
uma resenha dos fatos básicos da teoria analítica de números consulte [Voloch 
1987]. Uma exposição mais completa está disponível no clássico [Ingham 
1932], 


5. Exercícios 


1. Considere o conjunto de inteiros 

S = {Ak + 1 : k £ N}. 

Dizemos que q £ S é um S-primo se q = ab, com a, b £ S, implica que 
a = 1 ou b = 1. 

(a) Mostre que o produto de dois elementos de S também pertence a S. 

(b) Mostre que todo elemento de S pode ser fatorado como um produto de 
S-primos. 

(c) Dê exemplos de elementos de S que podem ser decompostos de duas 
maneiras diferentes como produtos de S-primos. 

(d) Adapte o Crivo de Eratóstenes de modo a determinar os ^-primos me¬ 
nores ou iguais a um elemento s £ S. 


2. O objetivo deste exercício é dar uma demonstração da infinidade dos núme¬ 
ros primos proposta por L. Euler em 1737. Considere o produto 




onde temos um termo para cada número primo. 

(a) Use o Teorema da Fatoração Única para mostrar que este produto é 
igual à série infinita 


11111 



(b) Mostre que se o número de primos fosse finito S seria convergente. 

(c) Mostre que S é divergente. 

(d) Conclua que existem infinitos números primos. 

3. Sejam fi,f 2 ,gi e g 2 funções cujo contradomínio é M e cujo domínio é N 
(ou M). Mostre que, se /1 é O(gi) e f 2 é 0 ( 52 ), então 

(!) /1 + f2éO(ma,x{g 1 ,g 2 }), e 

(2) f 1 f 2 éO{g 1 g 2 ). 

O objetivo dos exercícios 4, 5, 6 e 7 é obter uma cota para o custo do 
algoritmo euclidiano. Uma descrição detalhada deste algoritmo pode ser 
encontrada em [Coutinho 2001, capítulo 1], 

4. Considere a seqüência de Fibonacci, definida por 

Fi = F 2 = 1 e F n+ 1 = F n + /'„ 1 . 

Prove, por indução em n que 



para todo n > 3. 

5. Sejam k > leo > b > 1 números inteiros. Mostre que, se o cálculo 
do máximo divisor comum de a e b pelo algoritmo euclidiano executa k 
divisões, então 

a > ffe+2 e b > -Ffc+i. 

6. Use os exercícios 4 e 5 para mostrar que o número de divisões necessárias 
para calcular o máximo divisor comum de dois inteiros a > b > 1 pelo 
algoritmo euclidiano é 0(log 2 b). Este resultado foi provado originalmente 
por G. Lamé em 1845. 

7. Mostre que o tempo de execução do algoritmo euclidiano estendido aplicado 
a dois inteiros positivos menores que n é 0((log 2 ri) 3 ). 

Sugestão: Lembre-se que a divisão e a multiplicação de dois inteiros me¬ 
nores que n têm custo 0((log 2 n) 2 ). 

8. Suponha que você dispõe de um computador que efetua qualquer operação 
binária em 10 -9 segundos. Determine o tamanho n do maior problema que 
pode ser resolvido em 1 segundo por um algoritmo cujo tempo de execução 
é: 

(a) (log 2 n) 2 ; 

(b) (log 2 n) 33 ; 
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9. Mostre que 


y~^ l/k < ln n 


e use isto para dar uma avaliação do custo do crivo de Eratóstenes. 

10. Mostre que, se n > 2 é um inteiro par, então n/ = (n — 1)^. 

11. Seja m um inteiro positivo. Mostre que o número binomial 

/2rn + l\ 


12. Prove que (2 m + l) tt /(m + l) 8 divide e conclua que 

(2m + !)' < m ~ 2 2m 


13. Use os dois exercícios anteriores para provar, por indução em n, que n/ < 
2 n . Considere separadamente os casos em que n é par ené ímpar. O pri¬ 
meiro caso é praticamente imediato, o segundo requer um argumento sim¬ 
ples envolvendo desigualdades. 




Capítulo 2 
Grupos abelianos 


Neste capítulo introduzimos grupos abelianos, seus subgrupos e quocien¬ 
tes, e provamos o teorema de Lagrange. 

1. Definição e exemplos 

Os grupos são exemplos de estruturas algébricas; isto é, são conceitos de natu¬ 
reza classificatória, cujo objetivo é semelhante ao das classes taxonômicas em 
biologia. A principal razão para definir a classe das aves, por exemplo, é tornar 
possível descrever, com uma palavra, uma série de animais com características 
comuns. Assim, é provável que você nunca tenha ouvido falar de um kakapo, 
mas se alguém lhe disser que um kakapo é uma ave, você imediatamente vai 
imaginá-lo com duas patas, penas e bico '. 

Em álgebra acontece a mesma coisa. Da observação de exemplos com 
propriedades comuns surge a idéia de definir uma classe (ou estrutura) à qual 
pertencem estes vários exemplos. A diferença está no fato das estruturas ma¬ 
temáticas serem muito mais simples e rígidas que as da biologia. Assim, uma 
definição satisfatória, em matemática, permite-nos deduzir uma cascata de no¬ 
vas propriedades que não estavam explicitamente presentes na definição origi¬ 
nal. Por exemplo, das propriedades básicas dos números inteiros, e da definição 
de número primo, segue que existe uma infinidade de primos. No entanto, na 
definição de primo, não há nenhuma indicação quanto à sua quantidade. 

Neste livro estaremos utilizando duas estruturas algébricas básicas, os gru¬ 
pos abelianos e os anéis. Começamos por estudar os grupos abelianos. Os anéis 
ficam para o próximo capítulo. 

Um grupo é constituído de dois ingredientes básicos: um conjunto e uma 
operação definida neste conjunto. Vamos chamar o conjunto de G e a operação 
de ★. Por operação estamos entendendo uma regra que a cada dois elementos 
a,b e G associa um terceiro elemento a * b que também está em G. É impor¬ 
tante que você se dê conta, desde já, de que a palavra ‘operação’ é usada em 
matemática em um contexto mais geral do que o que estamos adotando neste 
livro. Por exemplo, costumamos nos referir ao produto interno de vetores como 
uma operação. Apesar disso ele não se encaixa na definição acima porque, a 
cada dois vetores, é associado um número, e não um vetor. 

'Um kakapo é um papagaio neozeolandês que não voa, e que corre sério risco de extinção. 
Para mais informações (e fotos) visite www. kakaporecovery .org.nz 
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Apesar de muitos conjuntos utilizados em matemática estarem natural¬ 
mente associados a operações, nem sempre temos um grupo. Para isso, preci¬ 
samos que a operação satisfaça algumas propriedades. Um conjunto G, onde 
está definida uma operação ★, é um grupo se: 

Associatividade: dados a,b,c£ G temos que 
a*{b*c) = (a*6) *c. 

Elemento neutro: existe um elemento e £ G tal que, para todo a £ G, 
temos 

a-ke = e-ka = a. 

Elemento inverso: dado um elemento a £ G, existe um elemento a' £ 
G (o inverso de a) tal que 


Observe que não exigimos que a operação do grupo seja comutativa; isto 
é, que 

a-kb= b* a para quaisquer elementos a,b £ G. 

Um grupo cuja operação é comutativa é chamado de grupo abeliano, em ho¬ 
menagem ao matemático norueguês Niels Henrik Abel, que foi um dos pio¬ 
neiros da teoria de grupos. Apesar dos grupos não abelianos aparecerem com 
freqüência em matemática e nas suas aplicações (à física, por exemplo), todos 
os grupos utilizados neste livro são abelianos. Por causa disso, trabalharemos, 
de agora em diante, apenas com grupos abelianos. Isto significa que, mesmo 
os resultados que são verdadeiros para grupos em geral, serão provados apenas 
para grupos cuja operação é comutativa. 

Há muitos exemplos importantes da associação ‘conjunto e operação’ que 
não satisfazem as propriedades acima e, portanto, não são grupos abelianos. 
Por exemplo, a soma de números naturais é associativa e tem elemento neutro 
(o zero). Entretanto o único natural a ter inverso para a soma é o zero; porque 
os números negativos não são naturais. Apesar disto, os grupos podem ser 
encontrados por toda parte. Assim, o conjunto dos números inteiros, racionais, 
reais e complexos são grupos abelianos com respeito à adição. Para qualquer 
inteiro positivo n, o conjunto Z„ é um grupo relativamente à adição de classes. 
Já os racionais, reais e complexos não nulos são grupos abelianos relativamente 
à multiplicação. 

Grupos abelianos cuja operação é denotada com o símbolo + são co¬ 
nhecidos como grupos aditivos. Esta terminologia é especialmente apropri¬ 
ada quando dois grupos convivem em um mesmo conjunto. Por exemplo, Q 
é um grupo com respeito à adição; já Q \ {0} é um grupo relativamente à 
multiplicação. Assim, a expressão “o grupo aditivo Q” refere-se ao primeiro 
destes grupos. No caso da operação de um grupo G ser denotada como uma 
adição, o ‘inverso’ de um elemento a £ G é denotado por —a, e chamado de 
simétrico de a. Um grupo cuja operação não é denotada por + será chamado 
de grupo multiplicativo, independente do fato de sua operação ser denotada por 
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justaposição, por um ponto, ou por um símbolo exótico como *. Neste caso, o 
inverso de um elemento a será escrito a -1 . 

O número de elementos de um grupo é a sua ordem. Todos os grupos 
mencionados anteriormente têm ordem infinita, exceto o grupo aditivo Z n , que 
tem ordem n. Outro grupo abeliano finito fácil de descrever é { —1,1} com a 
operação de multiplicação de inteiros. Neste caso a ordem é 2. 

Não podemos perder de vista que nosso interesse último é o estudo das 
propriedades de Z, sobretudo as de caráter multiplicativo, que estão relaciona¬ 
das a primos e fatoração. Sob este ponto de vista, um dos grupos abelianos 
mais importantes é o conjunto U(n), dos elementos invertíveis de Z n . Em 
outras palavras, 

C/(n) = {ãeZ„:mdc(a,n) = l}. 

Este conjunto é um grupo abeliano para a operação de multiplicação de clas¬ 
ses de Z n . Para verificar isto lembre-se, em primeiro lugar, que o produto de 
dois elementos de Z„ é um elemento de Z n . Portanto, se multiplicarmos dois 
elementos de U (n) obteremos um elemento de Z n . O problema é que isto não 
basta: precisamos que o produto de duas classes que estejam em U(n) também 
pertença a U(n). Em outras palavras, devemos provar que o produto de dois 
elementos invertíveis a e b de Z„ também é invertível. Digamos que a' e hl são 
os inversos de ã e b, respectivamente. Então, 


de modo que ab tem inverso a'¥ em Z n . Logo, ab £ U(n), e a operação de 
multiplicação de classes está bem definida em U(n). 

Resta-nos verificar que esta operação satisfaz as propriedades requeridas. 
A associatividade e a comutatividade são fáceis de comprovar, porque sabemos 
que o produto em Z n é associativo e comutativo. O elemento neutro é 1, que é 
invertível em Z n e, portanto, está em U(n). Finalmente, a definição de U(n) 
requer que cada um de seus elementos tenha inverso multiplicativo. Portanto, 
U (n) é um grupo abeliano relativamente ao produto de classes. 

É fácil dar uma descrição completa de um grupo finito G, de ordem pe¬ 
quena, através da tabela de multiplicação deste grupo. Primeiramente, cada 
linha e coluna da tabela são indexadas por um elemento do grupo. Sex,y £ G, 
então a casa da tabela que fica na intersecção da linha indexada por x com a 
coluna indexada por y é preenchida com x * y. Para o grupo U (20) a tabela 
aparece na página seguinte. 

Observe que quando nos referimos às casas de uma linha estamos sempre 
excluindo a que está mais à esquerda, que serve apenas para indexar a linha na 
tabela. O mesmo vale para a casa no topo de cada coluna. Levando isto em 
conta, podemos relacionar várias propriedades de um grupo a caracterísücas 
de sua tabela. Por exemplo: 

• os elementos de uma mesma linha de um grupo são todos distintos, 

• os elementos de uma mesma coluna de um grupo são todos distintos, 

• um grupo é abeliano se sua tabela for simétrica em relação à diago¬ 
nal. 
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11 13 17 19 


13 17 19 
19 TT T7 


13 17 
19 TT 


Tabela 1. Tabela de Z7(20) 


Naturalmente a diagonal da tabela é formada pelas casas que ficam no cruza¬ 
mento de uma linha e uma coluna indexadas pelo mesmo elemento do grupo. 
Estas propriedades são fáceis de provar, e os detalhes ficam por sua conta. 

2. Subgrupos 

Se um conjunto que está dentro de outro conjunto é chamado de subconjunto, 
então parece justo chamar um grupo que está contido em outro de subgrupo. 
Entretanto, precisamos tomar um pouco de cuidado com esta definição. Por 
exemplo, Q \ {0} é um grupo para a multiplicação e está contido no grupo 
aditivo Q. Porém, como as operações nestes dois grupos são completamente 
diferentes, um não herda as propriedades do outro. Mas isto é extremamente 
inconveniente. Uma das vantagens de saber que H é subgrupo de G deveria 
ser que podemos descobrir algumas propriedades de H apenas do fato de que 
está contido em G. Para tornar isto viável, precisamos não apenas que H C 
G, e que ambos sejam grupos, mas também que eles compartilhem a mesma 
operação. Para sermos mais precisos, daremos uma definição formal. 

Seja G um grupo abeliano com a operação *. Um subconjunto não vazio 
H de G é um subgrupo de G se: 

(i) Para todo a,b £ H temos que a*b £ H. 

(ii) O elemento neutro de G está em H. 

(iii) Para todo a £ H, seu inverso a -1 também está em H. 

Observe que (i) apenas afirma que a operação * de G também é uma 
operação para H . Talvez você estranhe o fato de que, apesar de nossa discussão 
anterior sugerir que H deveria ser um grupo relativamente a *, a propriedade 
associativa não foi listada entre as condições que H deve satisfazer. A razão 
disto é que, como G é um grupo, então a associatividade de * como operação 
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de G nos garante que 

a * (6 * c) = (a * b) * c, 

quaisquer que sejam a,b,c £ G. Em particular, como H Ç G, então esta pro¬ 
priedade tem que ser verificada se escolhermos a,b,c £ H. Mas isto significa 
que * é automaticamente associativa como operação em H. Um argumento se¬ 
melhante se aplica à comutatividade, de modo que se G for um grupo abeliano, 
o mesmo vai ocorrer com H. 

Entre os exemplos listados na seção 1, há vários subgrupos. Por exemplo, 
Z é um subgrupo aditivo de Q, que é um subgrupo aditivo de R, que é um sub¬ 
grupo aditivo de C. No caso da operação ser a multiplicação: os racionais não 
nulos são um subgrupo dos reais não nulos, que por sua vez são um subgrupo 
dos complexos não nulos. 

Um exemplo importante é o dos subgrupos do grupo aditivo Z. Seja n um 
inteiro positivo, e considere o conjunto H n dos múltiplos de n; isto é, 

H n = {kn : k £ Z}. 

As propriedades básicas do cálculo com múltiplos de n garantem que H n é um 
subgrupo de Z. Assim, a condição (i), da definição de subgrupo, é equivalente 
à soma dos múltiplos de n ser um múltiplo de n; a condição (ii) corresponde a 
0 ser múltiplo de n, e (iii) segue do fato de que a é múltiplo de n se, e somente 
se, —a também é. Pode-se mostrar que qualquer subgrupo do grupo aditivo Z 
é igual a H n para algum n; veja exercício 1. 

Dado um grupo G qualquer, é evidente que o maior subgrupo deGéo 
próprio G. Mas qual será o menor subgrupo de G? De acordo com a condição 
(ii), este subgrupo tem que conter o elemento neutro e. Contudo, o conjunto 
{e}, formado apenas pelo elemento neutro, também satisfaz (i) e (iii). Logo, 
{e} é um subgrupo de G. Portanto, seja qual for o grupo G, ele contém pelo 
menos dois subgrupos: {e}, que é o menor dos subgrupos e está contido em 
todos os outros, e G, que é o maior, e contém todos os outros subgrupos. 

Por causa das aplicações que temos em vista, estamos mais interessados 
nos grupos finitos. Por isso, vamos nos restringir a este tipo de grupos de agora 
em diante. 

Seja G um grupo abeliano finito provido de uma operação *, e cujo ele¬ 
mento neutro é e. Digamos que a / e é um elemento de G. Seja k > 0 um 
inteiro. Vamos escrever 

(a* a* ■ ■ • * o, se k > 0 



[e se k = 0 

Esta é a fc-ésima potência de a. Consideremos o conjunto das potências de a 
H = {e, a, a 2 , a 3 ,... }. 

Olhando para a seqüência de expoentes podemos ter a impressão de que este 
conjunto é infinito. Contudo, como G é um grupo, as potências de a estão 
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contidas em G. Logo, H Ç G. Mas G é um conjunto finito; portanto, H tem 
que ser finito também. 

Como temos um número infinito de expoentes correspondendo a um nú¬ 
mero finito de elementos, o Princípio da Casa do Pombo nos diz que a um 
mesmo elemento de H corresponderão expoentes distintos. Isto é, existem 
inteiros positivos n > to, tais que a m = a n . Seja a -1 o inverso de a em G. 
Multiplicando a m = a n por (a -1 ) m , obtemos a n ~ m = e. Como n — m > 0, 
concluímos que, dado um elemento qualquer a £ G, existe um inteiro positivo 
í tal que </ = e. 

Digamos que k é o menor inteiro positivo tal que a k = e. Se n > k, então 
podemos dividir n por k, obtendo n= kq + r, onde 0 < r < k — 1. Então, 

a n _• a kq+r = ^ky * 

Como a k = e, temos que a n = a r . Por isso, não precisamos nos preocupar 
com as potências de a com expoente maior que k — 1, porque são iguais a 
outras potências, de expoentes menores. Assim, 

(2) H = {e,a,a 2 ,...,a k ~ 1 }, 

que são todos elementos distintos, como é fácil verificar; veja exercício 2. Em 
particular, H tem k elementos. 

Mas será que H é um subgrupo de G? Para começar, segue imediatamente 
da definição de potência em G, que 

a r *a s = a r+s . 

Portanto, o produto x*y de dois elementos de x, y £ H é um elemento de H. 
Como e £ H, por definição, precisamos apenas mostrar que se r > 0, então 
a r admite como inverso uma outra potência de a cujo expoente é positivo. A 
descrição de H em (2) nos permite assumir, sem perda de generalidade, que 
r < k. Neste caso, k — r > 0 e 

a r -k a k ~ r = a k = e. 

Logo, a k ~ r é o inverso de a r em H. Mostramos, portanto, que H é um sub¬ 
grupo de G, cuja ordem é k. 

Podemos adotar esta construção como um procedimento para produzir 
subgrupos de G. Mais precisamente, dado um grupo finito G, e um elemento 
a £ G, temos que: 

(i) O conjunto H formado pelas potências de a em G é um subgrupo, 
que será denotado por (a). 

(ii) A ordem de (a) é igual ao menor inteiro positivo k tal que a k = e. 

É conveniente introduzir a seguinte terminologia. Se um subgrupo H é igual 
ao conjunto das potências de um elemento a, diremos que a é um gerador de 
H = (a). O menor inteiro positivo k tal que a k = e é a ordem de a. Portanto, 
se H tem a como gerador então a ordem de H = (a) (isto é, o número de 
elementos de H) é igual à ordem de a. Um subgrupo que admite um elemento 
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gerador é chamado de cíclico. Uma conseqüência imediata da definição é que 
um subgrupo de ordem k só será cíclico se contiver um elemento de ordem k. 

Evidentemente todo grupo contém subgrupos cíclicos. Contudo, nem to¬ 
dos os subgrupos de um grupo têm que ser cíclicos. Por exemplo, no grupo 

17(8) = (1,3,5,7} 

das classes invertíveis módulo 8, cada elemento tem ordem 2. Portanto, o grupo 
U (8) não pode ser cíclico, já que sua ordem é 4. 

Para incluir o que acontece com U(8), podemos generalizar nossa dis¬ 
cussão anterior a grupos que são gerados por vários elementos. Seja G um 
grupo abeliano finito e digamos que ai,... ,a t são elementos de G. Considere 
o conjunto 


K 1 * • • • * al* : n,... r t são inteiros não negativos }, 

que vamos denotar por (a -\..... a t )- Se üj tiver ordem kj em G, então pode¬ 
mos supor, sem perda de generalidade, que 0 < r ? - < kj para l < j < t. 
Em particular, (ai,..., a t ) tem, no máximo k\ k-i ■ ■ ■ k t elementos. É evidente 
que o produto de dois elementos de (oi, ..., a t ) está contido em (ai,..., a t ). 
Como o elemento neutro é obtido tomando todos os expoentes dos as iguais 
a 0, temos que e £ (ai, ..., a t ). Portanto, para confirmar que este conjunto 
é um subgrupo de G basta verificar que cada um dos seus elementos tem in¬ 
verso. Deixaremos os detalhes desta parte do argumento para você completar; 
veja exercício 3. 

Diremos que (ai,... ,a t ) é o subgrupo de G gerado pelos elementos 
ai,... ,a t . Os subgrupos cícücos são um caso particular desta construção 
quando t = 1. Aplicando isto a 7/(8) verificamos que, embora não seja um 
grupo cícüco, pode ser gerado por quaisquer dois de seus elementos que sejam 
diferentes de 1. 

Determinar os subgrupos de um grupo dado não é uma tarefa fácil. Con¬ 
tudo, como veremos na próxima seção, existem relações entre a ordem de um 
grupo, e as ordens de seus subgrupos e elementos, que facilitam um pouco esta 
tarefa. 

3. Teorema de Lagrange 

Curiosamente, o fato de um conjunto finito G admitir uma operação que satis¬ 
faz as propriedades de um grupo faz com que existam muitas relações numero- 
lógicas curiosas entre o número de elementos de G e o número de elementos 
de seus subgrupos. Isto torna mais fácil a tarefa de determinar os subgrupos 
de um dado grupo finito. A mais simples, e provavelmente a mais útil, destas 
relações, é dada pelo teorema de Lagrange. 

TEOREMA DE Lagrange. Em um grupo finito, a ordem de qualquer 
subgrupo divide a ordem do grupo. 
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Como conseqüência disto, a ordem de qualquer elemento a de um grupo 
finito G também divide a ordem de G. Afinal, pelo teorema de Lagrange, a 
ordem do subgrupo cíclico (a) gerado por a divide a ordem de G. Mas, como 
vimos na seção anterior, a ordem de (o) é igual à ordem de a. Logo, a ordem 
de a divide a ordem de G. 

A demonstração do teorema de Lagrange será feita na seção 4. Antes 
precisamos nos convencer da utilidade deste resultado na determinação dos 
subgrupos de um dado grupo. Começaremos com o grupo £7(20), cuja tabela 
descrevemos na seção 1. Este grupo tem ordem 8. Logo, pelo teorema de 
Lagrange, só pode ter subgrupos de ordem 1, 2, 4 ou 8. Já conhecemos os 
subgrupos de ordens 1 e 8, que são {1} e £7(20), respectivamente. 

Vamos determinar as ordens dos elementos de £7(20). Um cálculo fácil 
mostra que os elementos de ordem 2 são 9, 11, 19 e os elementos de ordem 4 
são 3, 7,13 e 17. Nossa primeira conclusão é que U (20) não é cíclico porque 
não tem nenhum elemento de ordem 8. Os subgrupos cíclicos de ordem 2 de 
£7(20) são 

{9), {lí) e (19). 

e os de ordem 4 são 

(3) = (7) e (13) = (17). 

Observe que um subgrupo qualquer de ordem 2, por ter apenas dois ele¬ 
mentos, tem que ser cíclico. E quanto aos subgrupos de ordem 4? Suponhamos 
que H seja um subgrupo de ordem 4 de £7(20), que não é cíclico. Neste caso, 
H não pode ter nenhum elemento de ordem 4. Como a ordem de um elemento 
de H tem que dividir a ordem de H, concluímos que os elementos de H di¬ 
ferentes de T têm que ter ordem 2. Portanto, precisamos de três elementos de 
ordem 2 em £7(20) para ter chance de obter um subgrupo não cíclico de or¬ 
dem 4. Por sorte, £7(20) tem exatamente três elementos de ordem 2, e uma 
verificação rápida mostra que o conjunto 

H = {1,9, TT, 19}. 
de fato é um subgrupo de £7(20). 

O fato de £7(20) ter exatamente 3 elementos de ordem 2 pode deixar uma 
impressão errada quanto à real dificuldade em determinar subgrupos de ordem 
2. Para dirimir qualquer dúvida, faremos outro exemplo. Desta vez o grupo é 
£7(40), que tem 16 elementos. Já sabemos que, para determinar os subgrupos 
não cíclicos de ordem 4 precisamos apenas conhecer os elementos de ordem 2 
de £7(40), que são 9, 11, 19,21,29,31 e 39. Como temos 7 destes elementos, 
existem 



maneiras de agrupá-los em subconjuntos de 3 elementos. Entretanto, não basta 
acrescentar 1 a cada um destes subconjuntos para obter um subgrupo de £7(40). 
Afinal, ao multiplicar dois elementos quaisquer de um subgrupo, precisamos 
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obter um outro elemento que também está no subgrupo. Isto significa, por 
exemplo, que se H é um subgrupo de U( 40) que contém 9 e 11, então 
(3) 9 • TT = 19, 

também tem que estar em H. Como estamos supondo que H tem ordem 4, 
obtemos 

H = {1,9,11,19}. 

Um cálculo fácil mostra que todos os outros produtos possíveis entre elementos 
de H pertencem a H, o que comprova que H é um subgrupo de U( 40). Por 
outro lado, 

{T, 9, TT, 21}, 

não é um subgrupo de Í7(40), porque por (3) o produto 9-11 não pertence a 
este conjunto. 

Uma outra aplicação simples do teorema de Lagrange nos permite descre¬ 
ver a estrutura de um grupo G cuja ordem é um número primo p. Escolha um 
elemento qualquer a ^ e de G e considere o subgrupo cíclico (a) gerado por 
a. Pelo teorema de Lagrange, a ordem de (a) tem que dividir a ordem de G, 
que é p, um número primo. Logo (a) tem ordem 1 ou p. Mas (a) contém pelo 
menos dois elementos, a saber e e a. Logo (a) não pode ter ordem 1; portanto, 
deve ter ordem p. Como (a) tem tantos elementos quantos tem G, concluímos 
que (a) = G. Para referência futura, reuniremos isto em um teorema. 

TEOREMA 2.1. Todo grupo G de ordem prima é cíclico e qualquer ele¬ 
mento de G, diferente de e, é um gerador de G. 

É preciso um certo cuidado na interpretação deste resultado, uma vez que 
não estamos afirmando que todo grupo cíclico tem ordem prima. Na verdade, 
isto é falso. Por exemplo, 

17(5) = (1,2,3,4} 

tem ordem 4, um número composto, mas pode ser gerado por 2. Contudo, 4 
não é um gerador de U (5). Sobre isto veja também os exercícios 4 e 5. 

Antes de encerrar a seção, há um outro resultado que precisamos consi¬ 
derar. Apesar de não ser conseqüência do teorema de Lagrange, seu carácter 
numerológico faz com que se encaixe, de maneira natural, nesta seção. 

LEMA Chave. Digamos que G é um grupo finito munido de uma opera¬ 
ção *. Seja a e G. Um inteiro positivo t satisfaz a* = e se, e somente se, t é 
divisível pela ordem de a. 

A demonstração é simples. Vamos chamar de s a ordem de a. Se s divide 
t então t = sr, para algum inteiro positivo r, e 
a* = ( a s ) r = e. 

A recíproca é menos imediata. Suponhamos que a* = e. Como a ordem é o 
menor inteiro positivo s tal que a s = e, então s <t. Dividindo t por s, temos 
t = sq + r onde 0 < r < s. 
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Assim, 

já que a s = e. Como r < s isto só pode acontecer se r = 0, ou teríamos uma 
contradição com o fato de s ser a ordem de a. 

4. Grupos quocientes 

Nosso objetivo nesta seção é construir um novo grupo a partir de um grupo 
dado e de um de seus subgrupos. A construção é uma generalização daquela 
usada para a aritmética modular. Como no caso de Z„, começaremos definindo 
uma relação de equivalência. 

Seja G um grupo abeliano provido de uma operação *, e seja H um sub¬ 
grupo de G. Definiremos uma relação de equivalência em G usando H. Sejam 
x&y elementos de G. Dizemos que x e y são congruentes módulo H, e escre¬ 
vemos x = y (mod H) se 

* * V 1 € H. 

Lembre-se que y _1 é o inverso de y em G. 

Vejamos porque esta construção generaliza a congruência módulo n. Neste 
caso, o grupo G será o conjunto Z com a operação de soma, e o subgrupo H 
será o conjunto H n dos múltiplos de um inteiro positivo n. Vimos na seção 2 
que este é um subgrupo de Z. Sejam x, y inteiros. Como o inverso de y no 
grupo aditivo Z é —y, temos que 

x = y (mod H n ) se, e somente se, x - y £ H n . 

Isto é, x — y tem que ser um múltiplo de n. Mas isto significa que x = y 
(mod H n ) é a mesma coisa que x = y (mod n ). 

Voltando ao caso geral, em que G é um grupo abeliano e H é um sub¬ 
grupo de G, precisamos verificar que a relação de congruência módulo H é 
de equivalência. Faremos isto testando cada uma das propriedades que uma 
relação de equivalência precisa satisfazer. Suponhamos que x,y,z £ G. Em 
primeiro lugar, como x * xr [ = e, o elemento neutro, e e £ H então x = x 
(mod H). Portanto, a relação é reflexiva. Para mostrar que é simétrica, su¬ 
ponha que x = y (mod H). Neste caso, x*y -1 £ H. Mas um subgrupo 
contém o inverso de cada um de seus elementos. Logo y*a; -1 = (a;*y _1 ) _1 , 
pertence a H. Contudo y * x~ x £ H significa que y = x (mod H). Final¬ 
mente, digamos que x = y (mod H) ey = z (mod H). Estas duas equações 
se traduzem como £ H e y * z _1 £ H. Como o produto de dois 

elementos de H está em H, temos que (x^y~ 1 )-k(y-kz~ 1 ) £ H. Efetuando o 
cálculo obtemos x * 1 £ H\ que é equivalente a dizer que x = z (mod H ). 

Em outras palavras, a congruência módulo H também é transitiva. 

Observe que cada uma das condições necessárias para que H seja um sub¬ 
grupo corresponde, exatamente, a uma das propriedades que a congruência 
módulo H tem que satisfazer para ser uma relação de equivalência. 
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Agora que sabemos que a congruência módulo H é uma relação de equi¬ 
valência, determinaremos a classe de equivalência x de um elemento x £ G 
para esta relação. Por definição, a classe de equivalência de x é 
x = {y £ G : y = x (mod H)}. 

Mas y = x (mod H) é o mesmo que dizer que y * a; -1 = h £ H. Isto é, 
y = h-kx. Portanto, a classe de equivalência de x é o conjunto 

(4) x = {h*x: heH}. 

Segue imediatamente da definição que a igualdade x = y é verdadeira se, e 
somente se, x = y (mod H) . Em particular, a classe do elemento neutro e é 
igual a H; isto é, x £ H se, e somente se x = e. O conjunto das classes de 
equivalência de G pela congruência módulo H será denotado por G/H. 

Vejamos um exemplo. No grupo 17(20), considere o subgrupo 
H = {1,9,11,19}. 

Como escrever ã deixa a notação muito sobrecarregada, denotaremos a classe 
de ã para a congruência módulo H simplesmente por a. Adotaremos esta 
convenção de simplificar a notação sempre que estivermos trabalhando com 
quocientes de subgrupos de U(n). 

Levando em conta esta convenção temos, do que já foi dito acima, que 
1 = H. Como U (20) tem 8 elementos, verificamos que há 4 elementos fora 
de 1. Portanto, deve haver pelo menos mais uma classe de equivalência para a 
congruência módulo H. Como 3^1, podemos começar calculando 3. Temos, 
por definição, que 

3 = (3-T, 3-9, 3-II, 3-19} = {3,7,13,17}. 

Como 3 contém todos os elementos de U (20) que não estão em 1, então 
G/H = {1,3}. 

Se escolhermos outro subgrupo relativo ao qual calcular a congruência, 
obteremos um conjunto de classes totalmente diferente. Por exemplo, tomando 
H como sendo o grupo de ordem 2 gerado por 9, obtemos as seguintes classes 
de equivalência 

T = {T, 9} 

3 = {3,7} 

ÍT = {TT, 19} 

Í3 = {13,17}. 

Por enquanto as classes nos contemplam, estáticas. Mas podemos torná- 
las mais interessantes, introduzindo uma operação no conjunto das classes. 
Voltemos, mais uma vez, ao caso geral em que G é um grupo abeliano e H 
é um subgrupo de G. Sejam a e b elementos de G. Queremos definir uma 
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operação no conjunto G/H a partir da operação * do grupo G. Tendo por 
inspiração a definição da soma de classes em Z„, podemos escrever 

(5) a * ò = ãrkb. 

De uma maneira geral, a operação de G/H será denotada pelo mesmo símbolo 
usado para a operação de G. 

Antes de mais nada precisamos verificar que esta operação está bem defi¬ 
nida. O ponto é que queremos multiplicar classes, mas estamos definindo isto 
a partir da multiplicação de representantes destas classes em G. Acontece que 
uma mesma classe pode ser representada por vários elementos distintos de G. 
Portanto, precisamos mostrar que, mesmo efetuando a multiplicação de classes 
a partir de representantes diferentes, obtemos sempre a mesma classe. 

Mais precisamente, suponha que a,a,be/3 são elementos de G, e que 

2 = âe b = p. 

Queremos mostrar que a * b = a*/3. Mas, pelas igualdades de classes acima, 
temos que 

a*a^0H e Ò^/T 1 e ff. 

Multiplicando estes elementos de H, e levando em conta que H é um subgrupo 
do grupo abeliano G, concluímos que 

(a * a” 1 ) * (b * r 1 ) = (a * b) * (a * /3)” 1 e H. 

Isto confirma que a operação * de G/H, dada pela equação (5), está bem de¬ 
finida. Observe que só pudemos escrever a última igualdade acima porque 
sabemos que o grupo é abeliano. 

Voltando a um exemplo já considerado anteriormente, seja H = {1,9} o 
subgrupo de ordem 2 de U (20) cujas classes calculamos acima. Como, 3 • 11 = 
13, então 

3-ÍT = Í3 

Como U(20)/H tem apenas 4 elementos, podemos tabelar todas as possibili¬ 
dades de multiplicação de suas classes, à maneira da seção 1. 


1 1 
3 3 

ÍT íT 

Í3 Í3 


3 

3 


13 

íT 


ii 

íT 

Í3 


3 


13 

Í3 

ÍT 

3 


Tabela 2. Tabela de multiplicação de U (20 )/H 
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Como já sabemos que a operação está adequadamente definida, podemos 
nos perguntar se o conjunto das classes G/H é um grupo abeliano. A resposta 
é sim, como veremos agora. Em primeiro lugar, se a, b, c £ G então, por (5), 

a*(6*c) = â*(ò7í) 

que é igual à classe de a * (6 * c) em G/H. Como 
a * (b ★ c) = (a * b) * c, 


em G, e 

(a*ò)*c = (a*b)*c, 

que é igual à classe de (a*b) *c, temos que a operação * de G/H é associativa. 
A comutatividade pode ser provada de maneira análoga. O elemento neutro de 
G/H é ê, já que 

a * e = ãíTe = a. 

Finalmente, se a tem inverso a -1 em G, então 

a * a -1 = a-k a -1 = ê, 


de modo que a -1 é o inverso de a em G/H. Isto não só confirma que G/H é 
um grupo, como mostra que suas propriedades refletem, de perto, as proprie¬ 
dades de G. Diremos que G/H é o grupo quociente de G por H. 

Resta-nos, apenas, utilizar a maquinaria desenvolvida nesta seção para 
provar o teorema de Lagrange. 


Demonstração do teorema de Lagrange. Seja G um grupo abeliano 
finito e denotemos por * sua operação. Seja H um subgrupo de G. Como a 
congruência módulo H estabelece uma relação de equivalência em G, temos 
que 

• G é união das classes de equivalência distintas relativamente à con¬ 
gruência módulo H, e 

• duas classes de equivalência diferentes têm que ser disjuntas. 
Podemos resumir isto escrevendo, 

G = Ci U • • • U C t onde Ci n C,- = 0 se * ^ j. 

Mas isto implica que 

#G = #C 1 + --- + #C Í . 

Portanto, se 

(6) #Gi = = #C* = #H, 

então #G = t(#H) e o teorema está provado. Assim, basta mostrar que (6) 
vale. 

Em primeiro lugar, e = H, de modo que H coincide com uma das classes 
de equivalência em G/H. Se a £ H, então 
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por (4). Em particular, a não pode ter mais elementos que H. Por outro lado, 
para que #a < #ií, deveríamos ter 

a-kx i = a * x2 para dois elementso distintos x-\. x 2 £ H. 
Entretanto, multiplicando a* x\ = a* x 2 pelo inverso de a em G, obtemos 
x;-\ = X‘2 . Logo, #a = #ü. Como toda classe em G/H é da forma a para 
algum a £ G, provamos a igualdade (6), o que completa a demonstração do 
teorema de Lagrange. 

5. Exercícios 

1. Seja S um subgrupo do grupo aditivo Z, e seja n o menor inteiro positivo 
contido em S. 

(a) Mostre que todo elemento de S é múltiplo de n. 

(b) Conclua que S = H n = {kn : k £ Z}. 

2. Seja G um grupo ca £ G um elemento de ordem k. Mostre que 


são elementos distintos de G. 

3. Seja G um grupo abeliano, provido de uma operação ★, e sejam m,..., a n 
elementos de G de ordem ki ,..., k n , respectivamente. 

(a) Mostre que se r\ < ki ,..., r n < k n são inteiros não negativos, então 

o inverso de a^ 1 * • • • * éa\ 1 ~ 1 ' 1 * • • • * a* n-r ". 

(b) Prove, em detalhes, que (oi, ..., a n ) é um subgrupo de G. 

4. Seja n > 3 um inteiro positivo. Dê exemplo de um elemento de U(n), 
diferente de T, que não é um gerador de U(n). 

5. Seja G um grupo cíclico de ordem n e gerador g. 

(a) Mostre que G é um grupo abeliano. 

(b) Mostre que se d é um inteiro positivo que divide n então G tem um 
subgrupo (cíclico) de ordem d. 

(c) Mostre que todo subgrupo de G é cíclico. 

(d) Mostre que se k é um inteiro positivo primo com n então g k também é 
um gerador de G. 

(e) Use (d) para determinar quantos geradores diferentes G tem. 

6. Seja G um grupo. Mostre que se todos os elementos de G, diferentes de e, 
geram G, então G tem ordem prima. 

7. Seja G um grupo abeliano com operação * e sejam acb elementos de ordem 
2 distintos em G. 

(a) Mostre que a * b tem ordem 2. 

(b) Mostre que {e, a, b, a * };>} é um subgrupo não cíclico de ordem 4 de G. 
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(c) Mostre que, se G tem m elementos de ordem 2 então o número de 
subgrupos não cíclicos de ordem 4, distintos, em G é igual a (™) /3. 

8. Determine todos os subgrupos não cíclicos de ordem 4 de t/(40). 

9. Seja G um grupo abeliano e S\ e S2 subgrupos de G. 

(a) Mostre que Si fl $2 é um subgrupo de G. 

(b) Dê um exemplo em que Si U 3$ não é um subgrupo de G. 

(c) Mostre que se a ordem de S 1 é prima com a ordem de S 2 então S% fl 
S 2 = {e}. 

(d) Mostre que o conjunto 

SiS 2 = {xíX 2 : xi € Si e x 2 € S 2 }, 
é um subgrupo de G. 

10. Seja G um grupo abeliano e suponha que g\ € G tem ordem p\ e que g 2 G G 
tem ordem p 2 . Mostre que se p\ e p 2 são primos distintos então g\ g 2 tem 
ordem p\p 2 . 

11. Seja G um grupo abeliano e Si e S 2 subgrupos de G. Suponha que ,Sj tem 
ordem pi e S 2 tem ordem p 2 . Mostre que se p-\ e p 2 são primos distintos, 
então S1S2 é um grupo cíclico de ordem p-\ p 2 . 

12. Sejam G um grupo abeliano e H um subgrupo de G. Prove que a operação 
em G/H é comutativa. 

13. Seja G o grupo multiplicativo formado pelos números racionais da forma 
2 fe 3 m 5 n , onde k, rn e n são números inteiros (positivos, negativos ou nulos), 
e seja S o subgrupo de G gerado por 2 k . Descreva o grupo G/S. 

14. Seja G um grupo abeliano e considere o conjunto 

S = {x 2 :x€ G}. 

(a) Mostre que S é um subgrupo de G. 

(b) Mostre que todos os elementos de G/S têm ordem 2. 

15. Sej a G um grupo abeliano de ordem n e p um primo positivo que divide n. O 
objetivo desta questão é provar o Teorema de Cauchy, segundo o qual G tem 
que conter um elemento de ordem p. Escreva uma demonstração detalhada 
deste teorema seguindo o roteiro abaixo: 

(a) Escolha 01 ,..., a p € G. Quantas permutações diferentes a seqüência 

(ai. a p ) admite? 

(b) Mostre que, como p é primo, o número de permutações da seqüência 
(a-i,..., a p ) tem que ser um múltiplo de p, a não ser que 

ai = a 2 = - - - = a p . 

(c) Suponha que a\a 2 ■ ■ • a p = e, onde e é o elemento neutro de G. Mostre 
que a p fica completamente determinado por ai,..., a p -\ ■ 
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(d) Seja 

S = {(ai, ■ ■ ■, a p ) : ai,... a p € G e a\ü2 ■ ■ ■ a p = e}. 

Use (c) para mostrar que (JS = n p ~ 1 . 

(e) Seja 

Si = {(oi, ... , a p ) G S : ai = a,2 = • • • = a p } 
e S,j = S \ S t . Então S = S,i U S u onde a união é disjunta. Mostre 
que Si não pode ser vazio exibindo explicitamente um elemento que 
pertence a S*. 

(f) Mostre, usando (b), que o número de elementos de S,i é um múltiplo 
de p. 

(g) Mostre, usando (f), que o número de elementos de S t também tem que 
ser um múltiplo de p. Conclua disto que G tem elementos de ordem p. 

Este exercício está baseado em [McKay 1959]. 

16. Seja G um grupo abeliano eSo subgrupo definido no exercício 14. Use o 
exercício anterior para provar que a ordem de G/S é uma potência de 2. 




Capítulo 3 

Anéis, ideais e polinómios 


Neste capítulo estudamos uma outra estrutura algébrica: os anéis. Como 
no caso de grupos, trata-se de uma noção cuja função é apenas a de abarcar 
vários objetos que surgem em diferentes áreas da matemática. Para nossos 
propósitos, dois tipos de anéis desempenham um papel especial, os corpos e 
os anéis de polinómios. Neste capítulo também estendemos, à categoria dos 
anéis, os conceitos de subgrupo e de grupo quociente. 

1. Anéis 

A noção de anel surgiu a partir da sistematização das propriedades dos números 
(inteiros, racionais e reais) realizada pelos matemáticos do século XIX. Entre¬ 
tanto, foi só no início do século XX que estas propriedades foram organizadas 
na forma das definições gerais que utilizamos até hoje. 

Antes de mais nada, usaremos a palavra operação no mesmo sentido em 
que foi empregada no capítulo 2. Levando isto em conta, dizemos que um 
conjunto não vazio A é um anel se nele estão definidas duas operações, que 
chamaremos de adição (denotada por +) e multiplicação (denotada pela justa¬ 
posição dos elementos que estão sendo multiplicados), que satisfazem as se¬ 
guintes propriedades: 

• quaisquer que sejam a,b,c£ A, 

a +(b + c) = (a +b) + c e a(bc) = (ab)c 

a + b = b + a e ab = ba 

a(b + c) = ab + ac 


• existem dois elementos especiais em A, denotados por 0 e 1, tais que, 
para todo a £ A, 


a + 0 = a e al = a 

• para todo a £ A existe um elemento —a tal que 
a -(- (—u) = 0. 
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Listamos algumas das propriedades da adição e da multiplicação lado a 
lado para chamar atenção sobre a sua semelhança. Observe que estamos exi¬ 
gindo que a operação de multiplicação de um anel seja comutativa; isto é, que 
ab = ba. Na maior parte dos livros de álgebra que você consultar o objeto 
que acabamos de definir será chamado um anel comutativo. Entretanto, não há 
razão para adotar esta nomenclatura aqui já que todos os anéis que considera¬ 
mos neste livro são comutativos. 

Os elementos especiais 0 e 1 são conhecidos como elementos neutros da 
adição e multiplicação, respectivamente. O elemento —a, definido na última 
propriedade, é chamado de simétrico de a. Esta terminologia é reminiscente 
do caso em que A = Z; neste caso, dispondo os inteiros ao longo de uma 
reta da maneira usual, temos que a e —a são simétricos em relação à origem. 
Observe que o conjunto A é um grupo abeliano relativamente à soma, mas não 
à multiplicação. 

Os anéis são abundantes entre os objetos algébricos que nos são familia¬ 
res. Os exemplos mais simples incluem os números inteiros, os racionais, os 
reais, os complexos e o conjunto Z n , das classes de inteiros módulo n. Outro 
exemplo familiar, que estudaremos com muito cuidado, é o conjunto dos po¬ 
linómios em uma variável, com as operações usuais de adição e multiplicação 
de polinómios. 

Entretanto, nem todo conjunto onde estão definidas uma soma e uma mul¬ 
tiplicação é um anel. O exemplo mais natural é o conjunto N dos inteiros 
não negativos. Neste caso, todas as propriedades que definem um anel são 
satisfeitas exceto uma, a existência do simétrico. 

Alguns tipos especiais de anéis são tão importantes, e ocorrem com tanta 
freqüência, que têm um nome especial. Um desses são os corpos. Dizemos que 
um anel K é um corpo, se para cada elemento 0 ^ a g K, existe um elemento 
b € K tal que ab =1.0 elemento b é conhecido como o inverso de a e será 
denotado por a -1 ou l/a. Em outras palavras, K é um corpo se, e somente 
se, K \ {0} é um grupo multiplicativo. Exemplos de corpos incluem Q, Re 
C. Entretanto, por causa das aplicações à teoria de números, o exemplo mais 
importante de corpo a ser usado neste livro é Z p , quando p é um número primo. 
Ao contrário de Q, K e C, o corpo Z p tem um número finito de elementos. 

Observe que Z não é um corpo porque os únicos inteiros que têm inverso 
em Z são 1 e — 1. Entretanto, Z se enquadra em uma outra classe importante 
de anéis, os domínios. Um anel A é um domínio se sempre que ab = 0, para 
dois elementos a,b £ A, então a = 0 ou b = 0. Um exemplo de anel que não 
satisfaz esta propriedade é Z 6 : 

2 e 3 são classes não nulas em Z$, mas 2-3 = 0. 

Na verdade, Z n só pode ser um domínio se n for primo. Só que, neste caso, 
Z n já é um corpo, como mostra o exercício 1. 

Na próxima seção consideramos em detalhes a construção dos anéis de 
polinómios e suas propriedades básicas. 
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2. Anéis de polinómios 

Nesta seção estaremos supondo que A é um anel qualquer. Construiremos a 
seguir o anel de polinómios em uma variável com coeficientes em A. Entre¬ 
tanto, se você preferir, pode imaginar, em uma primeira leitura, que A é Q, ou 
outro anel que lhe seja familiar. 

Seja x um símbolo, tradicionalmente conhecido como variável ou inde¬ 
terminada. Um polinómio f na variável x, com coeficientes em A, é uma 
expressão da forma 

(7) / = a n x n -\ -1- ü 2X 2 + aix + ao, 

onde n é um inteiro não negativo e ao,..., a n são elementos de A. Dizemos 
que a.j é o coeficiente de / em grau j. Se a n f 0 e a :j =0 para todo j > n, 
então o inteiro n é o grau de / e a n é o seu coeficiente líder. Eles serão 
denotados por grau(/) e ld(/), respectivamente. Um polinómio é mônico se o 
seu coeficiente líder for igual a 1. 

Denotaremos o polinómio em (7), indistintamente, como / ou f(x), de¬ 
pendendo se precisamos ou não chamar a atenção para a variável que está sendo 
utilizada. O conjunto de todos os polinómios na variável x, com coeficientes 
no anel A, será denotado por A[x\. 

A esta altura, um polinómio não passa de símbolos encadeados, formando 
uma espécie de ‘palavra’. Para dar vida a estes objetos precisamos explicar 
como interagem entre si. O primeiro passo é definir a igualdade de polinómios. 
Seja 

h = b m x m + • • • + Ò2X 2 + bix + 6o, 

um outro polinómio. Dizemos que / = h se m = n e se a* = 6* para cada 
0 < i < n. Uma conseqüência imediata desta definição é que, se m < n, então 
os polinómios h e 

0x n H-+ 0x m+2 + 0x m+1 + b m x m H-+ bix + 6o, 

são iguais. Isto significa que sempre podemos supor que dois polinómios te¬ 
nham o mesmo número de coeficientes, desde que não estejamos fazendo ne¬ 
nhuma hipótese quanto a estes coeficientes serem ou não nulos! Usaremos isto, 
de agora em diante, sem maiores cerimônias. 

Seja 

Q = b n x n + • • • + b2X 2 + bix + 6o, 

um polinómio em A[x\. Definimos a soma / + g como sendo o polinómio 

(8) / + g = (a n + b n )x n + • • • + (ai + 61)2; + (ao + 60). 

De posse desta definição, podemos dizer que / é igual à soma dos polinómios 
ao, aix ,..., a n x n . Não esqueça que nossa convenção de permitir coeficientes 
nulos faz com que a fórmula da soma f + g seja completamente geral. Por 
outro lado, se você assumir que a„ ^ 0 ou 6„ ^ 0 em (8), então o grau de 
/ + g é, no máximo, n. Em outras palavras, temos a seguinte fórmula 
grau(/ + g) < max{grau(/), grau(si)}. 
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Para descobrir como o produto fg deve ser definido, vamos supor que a 
multiplicação de polinómios deve ser distributiva, e que 

(9) (arf) {bjxi) = ciibjX 

onde o produto a t b :/ é calculado no anel A. Levando isto em conta temos que 

(10) fg •= y; ajbjX^i. 

Mas esta fórmula não é muito satisfatória porque a expressão resultante não 
está na forma da equação (7). Por exemplo, aplicando a fórmula ao produto 

(2a; 2 + 3a;)(a; 3 + 3a; 2 + 1), obtemos 

2a; 5 + 6a; 4 + 2a; 2 + 3a; 4 + 9a; 3 + 3a;. 

Entretanto, para converter (10) para a forma padrão basta agrupar os termos de 
mesmo grau. Fazendo isto, no exemplo, obtemos 

(2a; 2 + 3a;) (a; 3 + 3a; 2 + 1) = 2a; 5 + 9a; 4 + 9a; 3 + 2a; 2 + 3a:. 

Um cálculo simples mostra que as expressões para os coeficientes dos três 
termos de menor grau de fg são da forma 
coeficiente de a; 0 : ao6o; 
coeficiente de a; 1 : ao&i + aiò 0 ; 
coeficiente de a; 2 : ao 62 + aiòi + a^bo. 

Isto sugere que a fórmula geral para o coeficiente de x k deve ser 

( 11 ) Y, a ib k -i 

i=0 

como se pode provar por indução em k. 

Ao escrever a fórmula (11), estamos subentendendo que alguns dos coefi¬ 
cientes podem ser nulos, mesmo se estão mais à frente do que o último coefici¬ 
ente não nulo de / ou g. Portanto, se / tem grau ne g tem grau m, então (11) 
implica que: 

• os coeficientes de fg de grau maior que n + m são todos nulos; 

• o coeficiente de fg de grau n + mé a n b m . 

Como estamos supondo que / tem grau n e g tem grau m, os coeficientes a n e 
b m não podem ser nulos. Se, além disto, A for um domínio, então a n b m / 0. 
Em particular, concluímos que, se A for um domínio, 
grau (fg) = grau(/) + grau(g). 

Antes de passar à divisão de polinómios, precisamos determinar qual o 
custo incorrido em efetuar as operações de soma e multiplicação de polinómios. 
De acordo com (8), para calcular f + g, apenas somamos os coeficientes dos 
termos de mesmo grau, num total de n adições de elementos do anel de base A. 
Para obter um resultado mais preciso, precisamos conhecer o custo de calcular 
somas em A. Como isto varia de anel para anel, suporemos que A = Z m , por¬ 
que este é o caso que usaremos no capítulo 5. Neste caso, o custo da soma é da 
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ordem de 0(log 2 m), como vimos na seção 2 do capítulo 1. Como precisamos 
efetuar n somas de coeficientes, o custo total necessário para determinar / + g 
será 0(n( log 2 rn)). 

No caso da multiplicação, usamos a fórmula (10). Observe que as po¬ 
tências da variável x apenas marcam a posição dos coeficientes no vetor que 
descreve o polinómio. Portanto, calcular com potências de x não requer ne¬ 
nhuma operação aritmética. 

Como para a adição, suporemos que o anel de coeficientes é Z m . Para de¬ 
terminar o produto de dois termos como em (9) precisamos calcular o produto 
dos coeficientes, ao custo 0((log 2 to) 2 ). Como não há mais que n 2 produ¬ 
tos de termos a calcular, o custo total em efetuá-los será de 0(n 2 ( log 2 m) 2 ). 
Contudo, tendo multiplicado os termos dois a dois, ainda precisamos somar os 
coeficientes de dois produtos cujo grau coincide. Segundo (11) há, no máximo, 
k somas a calcular para cada 0 < k < 2 n. Portanto, o número de somas não 
pode ser maior do que 


0 + 1 H-h 2n 


2n(2n + 1) 
2 


Levando isto em conta, concluímos que o custo de efetuar estas somas é da 
ordem de 0(n 2 ( log 2 to)). Portanto, o custo total necessário para calcular fg 
é 0(n 2 ( log 2 to) 2 ). Convém reunir estes resultados em uma proposição para 
facilitar a referência futura. 


PROPOSIÇÃO 3.1 . Sejam f e gpolinómios em Z m [x] e seja d o máximo 
entre os graus de f e g. Então: 

• / + g pode ser calculado ao custo 0(d(log 2 to)); 

• fg pode ser calculado ao custo 0(d 2 ( log 2 m) 2 ). 


3. Divisão de polinómios 

Já discutimos adição e multiplicação de polinómios, falta-nos falar sobre a 
divisão de polinómios. Para simplificar a discussão assumiremos, de agora 
em diante, que estamos trabalhando com polinómios com coeficientes em um 
domínio A. 

Como no caso dos números inteiros, trataremos da divisão com resto. Em 
outras palavras, ao dividir um polinómio / por um polinómio g, esperamos 
encontrar dois novos polinómios, o quociente q e o resto r, de modo que / = 
gq + r. Além disto, queremos que o resto seja, de alguma forma, “menor” 
que o divisor. Faremos isto exigindo que r seja nulo, ou que tenha grau menor 
que o grau de g. Uma maneira de provar a existência d eçeré construir um 
algoritmo para calculá-los. Nosso algoritmo será recursivo, e reduzirá o grau 
do dividendo / até que seja menor que o grau de g. 

Digamos que 

/ = a n x n + • • • + a\x + ao e g = b m x m + • • • + b\x + òo 



46 


3. ANÉIS, IDEAIS E POLINÓMIOS 


são polinómios com coeficientes em um domínio A, para os quais a B ^0e 
b m ^ 0. Se, por acaso, / = 0, então o resto e o quociente também serão nulos, 
já que 0 é divisível por qualquer polinómio. Por outro lado, s e n < m, então 
o resto será o próprio /, e o quociente será zero. Podemos, assim, supor que 
/ ^ 0 e que n > m. Neste caso, queremos subtrair de / um múltiplo de g 
de modo a anular o termo de maior grau de /. Para isto precisamos fazer duas 
coisas: 

(1) compensar a diferença entre o grau de g e o de / multiplicando g por 


(2) compensar os coeficientes, multiplicando g por a n /b m . 

É claro que (1) não oferece nenhum dificuldade, mas para efetuar (2) precisa¬ 
mos poder dividir a n por b m em A. Entretanto, isto nem sempre é possível em 
um domínio. Por isso, precisamos fazer, neste ponto, a hipótese adicional de 
que b m é invertível em A. Observe que se A for um corpo isto significa apenas 
que b m ^ 0. Como de costume, denotaremos o inverso de b rn em A por 1 /b m . 

Supondo, então, que b m tem inverso em A, efetuamos as operações (1) e 
(2), calculando / — (a n /b m )x n ~ m g, cujo coeficiente de grau n é 0. Portanto, 
/ — ( o-n/b rn )x n ~ rn g tem grau menor que o grau de /. O algoritmo consiste na 
repetição deste passo até que sobre um polinómio de grau menor que g. Mais 
precisamente, temos o seguinte conjunto de instruções. 

Algoritmo de divisão para polinómios em uma variável 
Entrada: polinómios f,g£ A[x], onde A é um domínio, e o coeficiente de 
maior grau de g é invertível em A. 

Saída: polinómios q,r £ A[x\ tais que 

f = gq + r er = 0our tem grau menor que o grau de g 


Primeira etapa: Inicializa F = /, Q = 0; 

Segunda etapa: Se F = 0 ou F tem grau menor que o grau de g, então páre 
e imprima: “o resto éfe o quociente é Q”. 

Terceira etapa: Faça 


F = F- 


ld(F) 

Id(íf) 


Q 


Q + 


(F) , 

M(5) ’ 


onde d = grau(F) — grau(g), e volte à segunda etapa. 


Como no caso de inteiros, apresentamos a divisão de polinómios em uma 
tabela, como ilustra o exemplo da próxima página. Neste exemplo, o quociente 
é 6a: 2 + 7x + 8 e o resto é —6a; 3 — 13a; 2 — 15a; — 7. 

Se o resto da divisão de /( x) por g(x) em A [a:] for zero, diremos que g(x) 
é um divisor ou fator de f(x). Em outras palavras, g(x) é um divisor de f(x) 
se existe um polinómio q(x) £ A[x\ tal que f(x) = g(x)q(x). As propriedades 
da divisibilidade de polinómios são muito semelhantes às da divisibilidade de 
inteiros, como ilustra o exercício 2. 
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6x 6 + 7x 5 + 8x 4 + 1 

7x 5 + 8a; 4 — 6x 3 — 6a; 2 + 1 


a; 4 + x + 1 
6a; 2 + 7x + 8 


—6a; 3 — 13a; 2 — 15a; — 7 

Tabela 1 . Divisão de 6a; 6 + 7x 5 + 8a; 4 + 1 por x 4 + x+1 


Precisamos provar que o algoritmo funciona; quer dizer, mostrar que sem¬ 
pre pára e que calcula corretamente o que foi especificado na entrada. Para 
isto, denote por Fj e Q t os valores das variáveis F e Q no i-ésimo laço da 
aplicação do algoritmo. Se escrevermos F 0 = f para o valor de F no início da 
computação, teremos que 

grau(Fb) > grau(Fi) > grau(F 2 ) > • • •>(), 


pois 


= F t — ld ( F O x (grau(F t ) —graufa)) 

l<%) 


foi construído de modo que houvesse cancelamento do termo líder de F t . Por¬ 
tanto, é evidente que o algoritmo tem que parar. Por outro lado, se o algoritmo 
pára no fc-ésimo passo, então 


r = 0 ou grau(ífc) < grau(5), 


Mas temos, por indução em i, que F, = f — Q,g para todo 0 < i < k. Logo, 
tomando r = F k e q = Q k obtemos / = ® + rer = 0our tem grau menor 
que o grau de g, como havia sido especificado na saída. É conveniente enunciar 
o resultado do algoritmo sob a forma de um teorema. 


TEOREMA 3.2. Sejam f e g polinómios em A[x\ Se o coeficiente líder 
de g é invertível, então existem polinómios q,r £ A[x\, tais que 

f = qg + r e r = 0 ou grau(r) < grau(<7). 

Além disto, os polinómios q e r ficam unicamente determinados por estas 
condições. 


A existência deçer foi provada anteriormente, uma vez que já conhe¬ 
cemos um algoritmo que nos permite calculá-los. Resta-nos apenas provar a 
unicidade. Para isto, suponhamos que duas pessoas recebem polinómios / e 
g em A[x], Provar a unicidade do quociente e do resto significa que, inde¬ 
pendente de como estas pessoas calculem q e r, se as condições do teorema 
são satisfeitas então ambas obterão o mesmo quociente e o mesmo resto. Su¬ 
ponhamos, então, que a pessoa 1 calcula um quociente q-\ e um resto r\ tais 
que 


/ = qiQ + fi e ri = 0 ou grau(ri) < grau(g), 
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e que a pessoa 2 calcula um quociente q 2 e um resto 7*2 com 

/ = Q29 + r 2 e r 2 = 0 ou grau(r 2 ) < grau(p). 

Subtraindo as expressões para / obtidas por 1 e 2, verificamos que 
(12) (q 2 - qi)g = n - r 2 . 

Se r\ — r 2 = 0, então q 2 — q-\ = 0, e ambas as pessoas obtiveram o mesmo 
quociente e o mesmo resto, como queríamos provar. Portanto, basta mostrar 
que rr — r 2 ^ 0 não pode acontecer. Mas r-i — r 2 7^ 0 implica que r-\ ^ 0 ou 
r 2 ^ 0. Em qualquer dos dois casos, grau(5) > grau(ri — r 2 ). Contudo, a 
equação (12) implica que r\ — r 2 ^ 0 é múltiplo de g, de modo que não pode 
ter grau menor que grau(p). Esta contradição mostra que r-| - r 2 7^ 0 não pode 
acontecer, como queríamos mostrar. 

Podemos usar o algoritmo de divisão para relacionar as raízes de um po¬ 
linómio com os seus fatores de grau um. Digamos que A seja um domínio e 
que 

f(x ) = a n x n + -1- cbix + ao £ A[x}. 

Um elemento agúé uma raiz de f(x) se 

/(a) = a n a n + • • • + a±a + ao = 0. 


LEMA 3.3. Seja A um domínio e f £ A[x\. Então a £ A é uma raiz de 
f se, e somente se, x — a divide f. 

Demonstração. Suponhamos que a £ A é raiz de /. Dividindo / por 
x — a podemos escrever 

(13) f(x) = (x- a)q(x) + r. 

Mas r = 0, ou r tem grau menor que 1, que é o grau do divisor x — a. Em 
qualquer dos dois casos, r é uma constante. Substituindo x por a em (13), e 
levando em conta que a é raiz de f(x), temos 

0 = f(a) = (a - a)q(a) + r = r, 

já que r é uma constante e não depende de x. Logo, f(x) = (x - a)q(x); isto 
é, x — a divide de /. A recíproca é imediata. 

Também podemos usar o algoritmo de divisão para calcular o máximo di¬ 
visor comum entre dois polinómios. De fato, é relativamente fácil adaptar tanto 
o procedimento do algoritmo euclidiano estendido, quanto a sua demonstração, 
para o anel de polinómios sobre um corpo. Só não fazemos isto aqui porque 
não teremos nenhuma aplicação para o algoritmo neste livro. Para mais deta¬ 
lhes consulte [von zur Gathen e Gerhard 1999, seção 3.1] ou [Cohen 2003, 
seção 4.2], 
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4. Ideais 

Nada nos impede de usar o fato de que um anel A é um grupo abeliano com 
respeito à operação de soma para construir o grupo quociente de A/S com 
respeito a um subgrupo aditivo S de A. O problema é que o fato de A estar 
dotado de uma multiplicação aumenta as nossas expectativas. Já não estaremos 
contentes em fazer de A/S um mero subgrupo aditivo; queremos que A/S 
herde de algum modo a multiplicação de A e seja um anel. Afinal de contas, 
foi exatamente isto que fizemos quando construímos Z n , e funcionou. 

Vejamos o que acontece se tentamos definir um produto em A/S. Sejam 
a e b classes em A/S. Tanto a definição da operação de um grupo quociente, 
quanto a de multiplicação em Z„ sugerem que devemos pôr 

(14) a - b= ab, 

onde ab indica o produto de a e b como elementos de A. O problema é que 
esta multiplicação de classes pode não estar bem definida. Para ver porque, 
suponha que multiplicamos a por 0. Segundo a definição (14), devemos obter 


Contudo, 0 = s, qualquer que seja s £ S. Se a fórmula (14) representar uma 
operação bem definida, então usando s, ao invés de 0, como representante da 
classe, devemos obter o mesmo resultado final. Mas, 


e, para esta classe ser sempre igual a 0, precisamos que 
(15) as £ S para todo s £ S e todo a £ A. 

Só que isto não é verdade para todo subgrupo. Por exemplo, se S for o sub¬ 
grupo cíclico gerado por 1 em Q[x], então S = Z e a propriedade (15) é 
dramaticamente falsa neste caso. Afinal, f(x) • 1 £ S sempre que f(x) for um 
polinómio de grau maior que zero. 

Em vista disso, há três saídas. A primeira é decidir que estamos querendo 
demais, e desistir. A segunda é tentar definir a multiplicação de outra maneira. 
A terceira, é declarar que para ter, além da soma, uma multiplicação bem de¬ 
finida em A/S, precisamos que S seja um subgrupo aditivo que satisfaz uma 
propriedade extra; a saber (15). Nada garante a priori que esta última saída vá 
funcionar. Bastaria, por exemplo, que muito poucos subgrupos satisfizessem 
(15), para que a utilidade desta alternativa ficasse extremamente comprome¬ 
tida. Para sorte nossa, isto não acontece, e é exatamente esta terceira via a que 
vamos adotar. 

Formalizando o que fizemos acima, diremos que um subconjunto não va¬ 
zio I de um anel A é um ideal de A se 

(i) x + y £ I para todo x,y £ /, e 

(ii) ax £ I, quaisquer que sejam a £ Ae x £ I. 

Talvez sua primeira reação, ao olhar estas propriedades, seja: 
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“Mas um ideal não tinha que ser um subgrupo aditivo? 

Como, então, podem estas duas propriedades não dizer 
nada sobre o 0 ou sobre os simétricos?” 

Acontece que, na definição de ideal, temos a propriedade (ii), que vem em 
nosso socorro. Afinal, se x £ I então, por (ii), (-l)x = —x £ I. Segue 
disto e de (i) que x + (—a;) = 06/. Portanto, (i) e (ii) implicam que I é um 
subgrupo aditivo de A. 

Como todo ideal é um subgrupo aditivo do anel A, não é muito surpreen¬ 
dente que o menor ideal de A seja {0}, e que o maior seja A. Se A = K for 
um corpo, então estes são os únicos ideais de A. Par ver porque, suponha que 
I seja um ideal não nulo de K. Então, I contém um elemento a ^ 0. Como K 
é um corpo, a -1 6 K. Da condição (ii) segue então que, 
x = x(aa~ 1 ) £ I, 

para todo x £ K. Logo I = K. Mostramos, portanto, que todo ideal não 
nulo de K é igual ao próprio K. A recíproca deste resultado também é verda¬ 
deira: se os únicos ideais de um anel A são {0} e A então A é um corpo. A 
demonstração deste fato fica por sua conta; veja exercício 4. 

Se A não for um corpo, podemos construir ideais mais interessantes a 
partir de geradores. Digamos que queremos construir o menor ideal I que 
contém a \,..., a n £ A. Por (ii) temos que 

aixi ,..., a n x n £ I, quaisquer que sejam x\,... , x n £ A. 

Mas, por (i), a soma destes elementos também pertence a I. Logo, 

a\X\ + • • • + a n x n £ I quaisquer que sejam xi,... ,x n £ A. 
Acontece que uma verificação simples mostra que o conjunto 
{aia;i + • • • + a n x n : xi,... ,x n £ A}, 
é um ideal de A e, portanto, tem que ser igual a I. Definimos, assim, o ideal 
gerado por a±,... ,a n , que denotaremos por (a-|..... a n ) para diferenciá-lo do 

subgrupo (a\ . a n ) gerado pelos mesmos elementos. Um caso importante 

é o do ideal que é gerado por um único elemento. Estes ideais, chamados 
de principais, desempenham na teoria de anéis um papel semelhante ao dos 
grupos cíclicos na teoria de grupos. 

Para deixar bem clara a diferença entre ideais e subgrupos aditivos de um 
anel, vamos dar dois exemplos no anel Z„[a;]. Em primeiro lugar, multiplicar 
qualquer elemento f(x) £ Z n [x] por n tem o efeito de reduzi-lo a 0. Portanto, 
o subgrupo aditivo de Z„ [a:] gerado pelo polinómio x é 

(x) = {Õ, x, 2x ,..., n — la;}. 

Contudo, o ideal gerado por x contém todos os “múltiplos polinomiais” de x\ 
quer dizer, todos os polinómios da forma xf(x) onde f(x) é um polinómio 
qualquer de 1 n [a;]. Mas estes são, exatamente, os polinómios cujo termo cons¬ 
tante é zero. Isto é, 


(*) = {/(*) 6 : /( 0 ) = 0 }. 
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Como x, x 2 , x 3 , ■ ■ ■ £ (x), então (a;) é um conjunto infinito; ao passo que (x) 
tem apenas n elementos. 

A estrutura de um ideal em um anel pode ser, em geral, muito complicada. 
Para sorte nossa, isto não acontece no caso do anel que mais nos interessa, o 
anel de polinómios sobre um corpo, como mostra o próximo teorema. 


T EOREMA 3.4. Todo ideal do anel de polinómios em uma variável sobre 
um corpo é principal. 

É importante frisar que este resultado é falso se os coeficientes dos po¬ 
linómios não estiverem sobre um corpo. Veja o exercício 6 para mais detalhes. 
Por outro lado, este teorema é o análogo para anéis de polinómios do fato de 
que todo subgrupo de Z é cíclico; cf. exercício 1 do capítulo 2. 

Demonstração. Seja K um corpo e seja I um ideal de K[x\. Tanto 
{0} como K[x] são gerados por um elemento, de modo que podemos supor 
que (0) cl C K[x]. A estratégia que adotaremos para mostrar que I tem um 
gerador pode ser dividida em duas partes: 

(i) escolher um candidato g a gerador de 7; 

(ii) mostrar que o resto da divisão de cada elemento de I por g é zero. 
Note que (ii) implica que I Ç (g). Como g £ I, por hipótese, então temos a 
igualdade I = (j),eo teorema estará provado. 

O primeiro desafio consiste em escolher g de maneira adequada. Mas 
queremos que g divida cada elemento de 7, e isto só pode acontecer se tiver 
o menor grau possível entre os elementos de 7. Assim, escolheremos g como 
sendo um polinómio não nulo qualquer de 7 cujo grau é o menor possível. 
Note que, em princípio, podem existir vários polinómios distintos satisfazendo 
esta propriedade. 

Para provar que g divide cada elemento de 7, tome / £ I e divida-o por g, 
obtendo 

/ = gq + r onde r = 0 ou grau(r) < grau(g). 

Como f,g £ 7, então / — qg £ 7, já que 7 é um ideal de K[x], Assim, se 
r / 0 teríamos que 


r £ I e r tem grau menor que g, 

o que contradiz a escolha de g. Portanto, r = 0, o que prova (ii) e completa a 
demonstração do teorema. 

5. Anéis quocientes 

É hora de voltar aos quocientes, com os quais iniciamos a seção anterior. Di¬ 
gamos que A seja um anel e 7 seja um ideal de A. Como 7 é um subgrupo 
do grupo aditivo de A, podemos construir o grupo quociente A/7, que estará 
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automaticamente dotado de uma adição. De fato, se a, b £ A, então denotando 
por a e b as classes correspondentes em A/1, teremos que 

a + b = ^+b. 

Toda a nossa discussão anterior leva a crer que a multiplicação deva ser definida 
em A/I por 

a - b= ab. 

Para verificar que esta fórmula nos dá uma multiplicação bem definida, vamos 
supor que a' £ a e que b' £ b são outros representantes desta mesma classe. 
Isto significa que 

a! = a + s e b' = b + t, onde s,t £ I. 

Multiplicando a' por b' obtemos 

a'b' = (o + s)(b + t) = ab + (bs + at + st). 

Mas I é um ideal de A, de modo que bs + at + st £ I. Portanto, a'b' = ab, 
o que comprova que a multiplicação está bem definida. Deixaremos por sua 
conta verificar que estas operações de adição e multiplicação fazem de A/I 
um anel. 

Precisaremos usar esta construção, no capítulo 5, no caso em que Aé o 
anel de polinómios sobre um corpo K. Por isso analisaremos este caso em 
detalhes a seguir. Em primeiro lugar, pelo teorema 3.4, todo ideal de K[x] 
é principal. Portanto, basta analisar o quociente de K[x\ pelo ideal principal 
gerado por um polinómio g £ K[x\. Queremos fazer duas coisas: 

• caracterizar as classes de equivalência de K[x)/(g); 

• determinar uma fórmula geral para a multiplicação de classes. 

Para achar uma forma geral para as classes usaremos o algoritmo de di¬ 
visão de K[x\. Seja / £ K[x\. Se / tem grau maior que n, podemos dividi-lo 
por g, obtendo 

f = gq+r onde r = 0 ou r tem grau menor que n. 

Como / — r = gq £ (g), concluímos que / = r em K[x\. Mostramos, assim, 
que toda classe de K[x]/(g) tem um representante cujo grau é menor que n. 
Além disso, a unicidade do resto da divisão de polinómios mostra que cada 
classe de equivalência só pode conter um polinómio mônico de grau menor 
que n. Portanto, basta determinar um polinómio mônico em uma classe de 
equivalência de K[x]/(g) para caracterizá-la completamente. 

Como os elementos de K[x\ podem ser escritos como combinação linear 
das potências de x, então os elementos K[x]/(g) podem ser escritos como 
combinação das potências de x, que é a classe de x módulo (g). Portanto, 
pela propriedade distributiva, basta saber multiplicar potências de x para sa¬ 
ber multiplicar duas classes. Acontece que, por causa da caracterização das 
classes que vimos anteriormente, queremos nos restringir a representantes de 
grau menor que n. Assim, toda vez que o produto de duas potências de x ti¬ 
ver grau total maior ou igual a n, teremos que escrevê-lo como combinação de 
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potências de grau menor que n. Como x rn = x m ~ 1 x, basta calcular x” para 
saber como reduzir todas as potências de x cujo expoente é maior que n. Mas 
se g(x) = x n + • • + a\x + ao, então segue de g = 0 que 

(16) x ■ x” -1 =x n = —a n -\x n ~ 1 — ■ ■ ■ — d\x — ao- 

Para podermos dar uma descrição mais precisa das classes e da multipli¬ 
cação, precisamos restringir ainda mais nosso exemplo. Observe que se K é 
um corpo infinito, então existem infinitos polinómios mônicos de grau k para 
cada inteiro k > 0. A caracterização das classes de K\x]/(g) mostra, então, 
que este anel quociente tem um número infinito de elementos distintos. Por 
outro lado, se K é um corpo finito, então o número de polinómios de um dado 
grau em K[x\ será finito. Como cada classe de K[x]/{g) é caracterizada por 
um polinómio de grau menor que n, podemos concluir que o anel quociente 
K[x\/(g) é finito neste caso. Em particular, podemos fazer uma lista completa 
de todas classes de K[x]/(g), quando K é um corpo finito. 

Para poder listar sem muita dificuldade as classes de equivalência, es¬ 
colheremos K = Ij 2 e g(x) = x 2 + x + 1. Neste caso, o anel quociente 
Z 2 [x]/(x 2 + x + 1) será igual a 

{0, l,x, x + 1}. 

Usando o que já aprendemos, podemos calcular somas e produtos de classes 
de Z 2 [x]/(x 2 + x + 1). Por exemplo, 

(x + T) 2 = x 2 + T 2 + 2x = x 2 + T, 

pois 2/ = 0, para qualquer polinómio /gZ 2 [x]. Dito de outro modo, / = — / 
em Z 2 [x]. Levando isto em conta, a equação (16) nos dá x 2 = x + 1, neste 
caso. Daí, 

(x + í ) 2 = x 2 +T= (x + i)+i=x. 

Como o número de classes, neste exemplo, é pequeno, fica fácil calcular todas 
as possibilidades para suas somas e produtos. Os resultados destes cálculos 
estão resumidos nas tabelas 2 e 3. Estas tabelas devem ser interpretadas de 
maneira análoga às tabelas de grupos do capítulo 2. 
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Tabela 2. Adição em Z 2 [x]/(x 2 + x + 1) 


Uma inspecção rápida da tabela 3 mostra que todos os elementos não nulos 
do anel Z 2 [x]/(x 2 + x + 1) têm inverso multiplicativo. Em outras palavras, 
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Tabela 3. Multiplicação em Z 2 [:e]/(x : 


Z-2 [:e] / (x 2 + x + 1) é um corpo finito com 4 elementos. Como veremos na 
próxima seção, isto não é mera coincidência. 

6. Fatoração única de polinómios 

Nesta seção provamos o análogo para polinómios do Teorema da Fatoração 
Única do capítulo 1. Começamos por definir o que corresponde a um número 
primo, no contexto dos polinómios. Ao longo de toda a seção trabalharemos 
apenas com polinómios sobre um corpo K. 

Seja / um polinómio não constante em K[x\. Dizemos que / é irredutível 
em K[x] se não for possível escrevê-lo como produto de dois polinómios de 
grau menor que o grau de /. Caso contrário, / é um polinómio redutível. Ob¬ 
serve que ambas as definições dizem respeito, apenas, a polinómios não cons¬ 
tantes. Vemos, assim, que as constantes estão para a fatoração de polinómios, 
como ±1 estão para a fatoração de inteiros. Para descobrir o que há de comum 
a estes dois casos resolva os exercícios 7, 8, 9 e 10. 

Como consequência imediata da definição, temos que todo polinómio de 
grau 1 em K[x] é irredutível. Por outro lado, só é possível decompor um 
polinómio de grau 2 ou 3 como produto de polinómios de grau menor se ao 
menos um desses polinómios tiver grau 1. Portanto, podemos concluir pelo 
lema 3.3 que um polinómio de grau 2 ou 3 só poderá ser irredutível em K[x\ 
se não tiver raiz em K. Para polinómios de grau maior, a situação é muito mais 
complicada. Por exemplo, um polinómio de grau 4 pode ser decomposto como 
o produto de dois polinómios de grau 2, apesar de não ter nenhuma raiz em K. 
Finalmente, os possíveis graus de polinómios irredutíveis sobre K dependem 
do corpo K. Assim, apenas os polinómios de grau 1 são irredutíveis sobre 
C, ao passo que em M[x] há polinómios irredutíveis de graus 1 e 2. Já Q [x] 
contém polinómios irredutíveis de grau n, para cada inteiro positivo n > 1; 
veja [Gonçalves 1979, p. 84, Exemplo 2]. 

Como ocorre com os números inteiros, é fácil provar que todo polinómio 
de K[x\ pode ser escrito como produto de polinómios irredutíveis. O difícil é 
mostrar que a fatoração é única. Para isso, precisamos do seguinte lema. 

LEMA 3.5. Sejam p, f e g polinómios em K[x] e suponhamos que p seja 
irredutível em K [a:]. 
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(i) Se p não divide f, então existem polinómios a e (3 em K[x) tais 
que 

ap + Pf = 1. 

(ii) Se p divide fg, então p divide f ou p divide g. 

Se estivéssemos trabalhando com inteiros, em vez de polinómios, o item 
(i) do lema seria uma conseqüência imediata do algoritmo euclidiano esten¬ 
dido, [Coutinho 2001, p. 44]. Como há uma versão daquele algoritmo para 
polinómios, poderíamos ter adotado a mesma estratégia para provar este lema. 
Só não fizemos isto porque, além da demonstração que daremos a seguir ser 
bastante curta, não precisamos do algoritmo euclidiano para polinómios em 
nenhum lugar deste livro. 

Demonstração. Para provar (i), considere o ideal de K [ x ] gerado por 
/ e por p. Pelo teorema 3.4, todo ideal de K [ x \ é principal. Logo deve existir 
um polinómio h que gera ( f,p ). Mas, para isto acontecer, h tem que dividir p e 
/. Contudo, p é irredutível, e só pode ser divisível por h se h for constante, ou 
se h = cp, para algum c £ K \ {0}. Entretanto, neste último caso, p dividiria 
/, o que estamos supondo que não ocorre. Logo, h deve ser uma constante 
não nula. Multiplicando h pelo seu inverso em K concluímos que 1 € ( f, p). 
Portanto, pela definição do ideal ( f,p ) existem polinómios a e 0 tais que 

(17) ap + pf^l. 

Passemos à demonstração de (ii). Se p divide /, então provamos o que 
queríamos. Suponhamos, então, que p não divide / e vamos mostrar que tem 
que dividir g. Mas, neste caso, temos por (i) que existem polinómios ae/3 tais 
que (17) é satisfeita. Multiplicando (17) por g, obtemos 

(18) apg + pfg = g. 

A primeira parcela da esquerda é evidentemente um múltiplo de p\ mas a se¬ 
gunda parcela também é, porque p divide fg por hipótese. Portanto, p divide o 
lado esquerdo da equação (18); logo divide g, o que conclui a demonstração. 

Como no caso da fatoração de inteiros, a parte (ii) do lema 3.5 é o ingre¬ 
diente essencial para a demonstração da unicidade da fatoração polinómios. 

TEOREMA 3.6. Sejam K um corpo e f um polinómio não constante em 
K[x\. Podemos fatorar f na forma 

f = cp\ 1 p e 2 2 ■■■p\\ 

onde c é uma constante não nula, pi,P2, ■ ■ ■ ,Pt são polinómios mônicos ir¬ 
redutíveis distintos e ei,... ,ej são inteiros positivos. Além do mais, esta 
fatoração é única a menos da ordenação dos polinómios irredutíveis. 

Dizer que a fatoração é única a menos da ordenação dos polinómios ir¬ 
redutíveis significa que, se várias pessoas calcularem uma fatoração para /, 
todas encontrarão a mesma constante, os mesmos polinómios irredutíveis e os 
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mesmos expoentes para cada polinómio irredutível. O pior que pode acontecer 
é que pessoas diferentes arranjem as potências de polinómios que aparecem na 
fatoração em uma ordem diferente. 

Demonstração. Há duas coisas distintas a provar: a existência e a 
unicidade da fatoração. Começamos provando a existência da fatoração por 
indução no grau de /. 

Existência da FATORAÇÃO: Um polinómio de grau 1 tem que ser irre¬ 
dutível, de modo que já está fatorado. Suponhamos que todo polinómio de 
grau menor que n admite uma fatoração na forma do teorema. Seja / um po¬ 
linómio de grau n. Se / for irredutível, já está fatorado e não há nada a fazer. 
Suponhamos que / não seja irredutível. Neste caso existem polinómios g\ e 
P2> de grau menor que n, tais que / = g\g2- Como g-\ e g-2 têm grau menor que 
n, podemos fatorá-los na forma do teorema. Para obter a fatoração de / basta 
multiplicar as constantes das fatorações de g\ e de g 2 , e agrupar os fatores irre¬ 
dutíveis iguais nas duas fatorações. Portanto, pelo Princípio de Indução Finita, 
qualquer polinómio de grau positivo admite uma fatoração em irredutíveis. 

Unicidade da fatoração: Suponhamos, por contradição, que existe al¬ 
gum polinómio de grau positivo que admite mais de uma fatoração na forma 
estabelecida pelo teorema. Seja / um polinómio, de menor grau possível, entre 
aqueles que admitem duas fatorações distintas. Neste caso, podemos escrever 

(19) / = cpl 1 ■ ■ ■ p? = c'q[' ■■■q r s s . 

onde c ,d são constantes não nulas, p-\,....p t e qi,.. ., q s são polinómios 
mônicos irredutíveis e ei,..., e t , rr,..., r s são inteiros positivos. Natural¬ 
mente, estamos supondo que estas duas fatorações são diferentes. 

Em primeiro lugar, como os ps e qs são mônicos, tanto c quanto d têm que 
ser iguais ao coeficiente líder de /. Portanto, c = d. 

Por outro lado, de acordo com a fatoração da esquerda, pi é um polinómio 
irredutível que divide /. Mas / = dq[ x ... , segundo a fatoração da direita. 

Logo, pelo lema 3.5(ii), p\ deve dividir um dos fatores do produto à direita. 
Reordenando os qs, se necessário, podemos supor que p\ divide <:p . Só que, 
como os dois são irredutíveis e mônicos, um deles só pode dividir o outro se 
forem iguais. 

Com isso podemos reescrever (19) substituindo q-\ por p-\ 
f = cpl 1 • • -pl* = dp\'q^ ■■■q r s s - 

Como temos p\ em ambos os lados da igualdade, com multiplicidade pelo 
menos 1, podemos cancelá-lo obtendo 

(20) g = cpl 1 - 1 ■ ■ ■ pl* = dpi 1-1 ■ ■ ■ q r /. 

Mas, / = pig, de modo que o grau de / tem que ser maior que o grau de g. 
Portanto, pela escolha de /, as duas fatorações de g em (20) têm que ser iguais. 
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Isto significa que, reordenando q^,... ,q s novamente, se necessário, teremos 
que t = s, e, também que 

Pi = qi e ei = r , para cada 1 < i < t. 

Mas isto basta para mostrar que as duas fatorações de / dadas anteriormente 
têm que ser iguais, contradizendo a suposição inicial. Com isto provamos que 
não pode haver um polinómio de grau positivo com duas fatorações distintas, 
na forma explicitada pelo teorema. 

Ao discutir a fatoração de inteiros no capítulo 1, provamos a existência da 
fatoração descrevendo um algoritmo que, ao receber um inteiro, encontrava um 
fator primo. Entretanto, nossa demonstração da existência da fatoração de po¬ 
linómios, no teorema acima, não se presta a nenhuma formulação algorítmica. 
Ela mostra que a fatoração existe, mas não dá nenhuma deixa de como possa 
ser calculada. Isto remete a uma diferença muito interessante entre os anéis Z e 
K[x]. Se por um lado, é fácil descrever um algoritmo que acha um fator de um 
número inteiro; ninguém ainda foi capaz de imaginar um algoritmo que faça 
isto em tempo polinomial. Já para os polinómios, não existe nenhum algoritmo 
realmente ingênuo de fatoração; em contrapartida, temos neste caso um algo¬ 
ritmo de fatoração de custo polinomial. Uma descrição detalhada deste último 
algoritmo pode ser encontrada em [von zur Gathen e Gerhard 1999, capítulo 
16 ]. 

Podemos usar a teorema 3.6 para relacionar o número de raízes de um 
polinómio com o seu grau, como mostra o próximo corolário. 

COROLÁRIO 3.7. Um polinómio de grau n, com coeficientes em um 
corpo K, não pode ter mais do que n raízes em K. 

Demonstração. Pelo lema 3.3, a € K é uma raiz de / se, e somente 
se, x —a divide /. Mas x —a é um polinómio de grau 1, de modo que tem que 
ser um fator irredutível de /. Contudo, pelo teorema 3.6, a soma dos graus dos 
fatores irredutíveis de / não pode exceder o grau de /. Em particular, / não 
pode ter mais fatores lineares (e, portanto, raízes) que o seu grau. 

Encerramos este capítulo usando o lema 3.5 para explicar porque o anel 
quociente do exemplo ao final da seção 4 é um corpo. O corolário seguinte 
será utilizado de maneira fundamental na demonstração do algoritmo AKS no 
capítulo 5. 

COROLÁRIO 3.8. Seja K um corpo e p um polinómio irredutível de 
K[x]. Então o anel quociente K [;r] / (p) é um corpo. Além do mais, se K 
for um corpo finito, então K[x\/(p) também será finito. 

Demonstração. Precisamos mostrar que toda classe não nula do anel 
quociente K[x]/(p) é invertível. Mas já vimos na seção anterior que cada 
uma destas classes admite como representante um polinómio / de grau não 
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negativo, e menor que o grau de p. Como toda constante não nula é invertível 
em K[x]/(p), podemos supor que / tem grau positivo. Seja, então, 

/ e K[x\/(p), onde 0 < grau(/) < grau(p). 

Mas / tem grau menor que o grau de p, de modo que não pode ser divisível 
por p. Logo, pelo lema 3.5(i), existem polinómios a e ,3 tais que 
ap + f3f = 1 onde a, f3 e K[x\. 

Tomando esta relação no quociente K[x]/(p), obtemos 

!/= i- 

já que p = 0. Portanto, (3 é o inverso de / em K[x]/(p). 

A afirmação final segue do fato de que se K é finito, então existe apenas 
uma quantidade finita de polinómios em K[x\ cujo grau é menor que o grau de 
V - 


Note que, no exemplo do final da seção 4, o polinómio gerador do ideal 
que definia o quociente era p = x 2 3 4 + x + 1. Mas, para que este polinómio não 
fosse irredutível em Z 2 [x] seria preciso que pudesse ser decomposto como o 
produto de dois fatores de grau 1. Pelo corolário 3.7, isto só poderia acontecer 
se p tivesse raízes em Z 2 . Contudo, 

p(Õ) =Õ 2 + Ü + I = Ie p{ T) = T 2 +1 +1 = I. 

Logo p = x 2 + x + 1 é irredutível em Z 2 [a;]. Observe que este argumento 
não teria funcionado se o polinómio tivesse grau maior que 3. Por exemplo, o 
argumento acima mostra que (x 2 + x + l) 2 não tem raízes, no entanto, ele não 
é irredutível em Z 2 [#]. 

7. Exercícios 

1. Mostre que todo domínio com uma quantidade finita de elementos é um 
corpo. 

2. Seja A um anel e /i, / 2 , g £ A[x\. Mostre que: 

(a) 0 é divisível por g\ 

(b) se g divide /i então divide /i/ 2 ; 

(c) se g divide /i e / 2 , então divide f\ + / 2 . 

3. Seja I um ideal de um anel A. Mostre que I = A se, e somente se 1 £ I. 

4. Mostre que se os únicos ideais de um anel A são {0} e A, então A é um 
corpo. 

Sugestão: Se a e A e a ^ 0, então (a) = A. Conclua usando o exercício 
3. 
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5. Prove que todos os ideais de Z são principais. 

6. Prove, por contradição, que o ideal (2, x ) do anel Z[x\ não é principal. 

7. Seja A um anel. Dizemos que um elemento a £ A é invertível em A se 
existe a' £ A tal que aa! = 1. 

(a) Mostre que o conjunto A* dos elementos invertíveis de A forma um 
grupo abeliano. 

(b) Determine Z*. 

(c) Mostre que A[x\* = A*, para qualquer anel A. Conclua que, se K é 
um corpo, então os elementos invertíveis de K[x\ são as constantes não 
nulas. 

8. Seja A um anel e sejam a,d £ A \ {0}. Dizemos que d é um divisor de a 
em A se existe c £ A tal que a = dc. Mostre que: 

(a) Se d é um divisor de a, então também é um divisor de ab, qualquer que 
seja b £ A. 

(b) Se d é um divisor de a e também é um divisor de b então d é um divisor 
de a + b. 

9. Seja A um anel e sejam a,d £ A \ {0}. O elemento d é um divisor próprio 
de a se a = dc e se d, c ^ A*. Suponha que existe uma função v : A —> N 
tal que: 

• o(ab) = o(a)i'(b), quaisquer que sejam a,b £ A,e 

• u(a) = 1 se, e somente se, a £ A*. 

Prove que d é um divisor próprio de a se, e somente se, o (d) < u(a). 

10. Seja A um anel no qual está definida uma função v como no exercício an¬ 
terior. Um elemento a £ A \ A* é irredutível em A se não tem divisores 
próprios. Prove que todo elemento de A pode ser escrito na forma 

upi ■■■Pt-, 

onde u £ A* e pi,... ,p t são elementos irredutíveis de A. 

11. Considere o conjunto 

Z[Vò] = {a + bVE : a, b £ Z}. 

(a) Mostre que Z[\/5] é um domínio. 

(b) Mostre que a função v : Z[\/5] —► N definida por 

v(a + bV5) = \a 2 — 5b 2 \ 
satisfaz as condições do exercício 9. 

(c) Mostre que todo elemento de Z[\/E] pode ser fatorado como produto 
de elementos irredutíveis. 

(d) Mostre que 2, 3,1 + \/5 e 1 — y/ò são irredutíveis em Z[y/ò], 

(e) Mostre que 6 pode ser fatorado de duas maneiras distintas como pro¬ 
duto de irredutíveis em Z[y/ò]. 




60 3. ANÉIS, IDEAIS E POLINÓMIOS 

12. Use o exercício 4 para provar um análogo do lema 3.5 para o anel Z. 

13. Use o exercício anterior para provar a unicidade da fatoração de um inteiro 
em primos, como estipulada pelo Teorema da Fatoração Única. 

14. Seja K um corpo. Prove que um polinómio de grau 2 ou 3 em K[x] é 
irredutível se, e somente se, não tem raiz em K. 



Capítulo 4 

Testes de primalidade 


Neste capítulo explicamos o que, exatamente, queremos dizer quando nos 
referimos a um teste de primalidade determinístico e eficiente. Faremos isto 
contrastando testes de primalidade que são determinísticos com testes que não 
são determinísticos, e analisando a eficiência de cada um deles. 


1. Um teste determinístico de primalidade 

Antes de tratar dos testes de primalidade, precisamos de alguns resultados 
básicos da teoria dos números. Ao longo de todo este capítulo x denotará 
uma variável. Muitos dos cálculos a seguir serão efetuados em Z n [x], o anel 
de polinómios com coeficientes em Z n . 

TEOREMA 4.1. Sejam n e b inteiros positivos e primos entre si. Então, 
(x + b) n = x n + ò" em Z n [x\, 
se, e somente se, n é primo. 

A demonstração deste teorema depende de um resultado sobre números 
binomiais que isolaremos no seguinte lema. 


Lema 4.2. Seja nu 


para todo 1 < k < n — 1. 
Observe que, como 


i inteiro positivo. Então, n é primo s< 

( í) = 0 ( mod n ) 


GO-CD- 


não podemos estender o intervalo em que k está variando de modo que inclua 
Oen. 


Demonstração. Suponha, em primeiro lugar, que n = pé um número 
primo. Neste caso, se 1 < k < p — 1, então p não divide kl nem (p — k)\. 
Contudo p divide p\. Portanto, o p que aparece no numerador do quociente 


(P\ = P ! 

\kj k\(p—k)\ 
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não é cancelado pelo denominador. Mas isto significa que 

é múltiplo de p, quando 1 < k < p — 1 
como queríamos mostrar. 

Vejamos o que acontece se n for composto. Neste caso, n admite um fator 
primo próprio q. Em outras palavras, q divide n el < q < n- I. Digamos que 
q e é a maior potência de q que divide n. Assim, podemos escrever n = q e c, 
onde c é um inteiro positivo que não é múltiplo de q. Temos, então, que 
(n\_ n.(n- 1)1 t (n —!)! 

\q) qK n ~q) ] - (<?-i) !(«-<?)! 

Precisamos mostrar que este número não é múltiplo de n. Mas, se fosse, então 
q dividiria (n — l)!/(g — l)!(n — g)! que, por sua vez, é igual a 
(n - l)(n — 2) • • • (n — q + 1 ){n - q)\ ( n - 1 )(n — 2) • • • (n — q + 1) 

(q- l)!(n-ç?)! 

No entanto, como n é múltiplo de q, os números (n— 1), (n— 2),..., (n—q+1) 
não podem ser múltiplos de q. Disto segue que (n — 1 )\/{q — lj!(n — q)\ não 
é divisível por q , completando assim a demonstração do lema. 

Estamos, agora, prontos para provar o teorema. 

Demonstração do teorema 4.1 Em primeiro lugar, temos, pelo binômio 
de Newton, que 

(x + b) n = x n + b n + x n ~ k b k . 

Portanto, o teorema estará provado se mostrarmos que 

(21) ^ ^jx n ~ k b k = 0 em Z n [x\, 

se, e somente se, n é primo. Entretanto, como rndcfò, n) = 1, temos pelo 
teorema de inversão de [Coutinho 2001, p. 83], que 

b k = 0 (mod n) se, e somente se, = 0 (mod n). 

Mas esta última congruência é uma conseqüência imediata do lema 4.2, já que 
1 < k < n — 1. Portanto, cada parcela em (21) é congruente a 0 módulo n, o 
que prova o teorema. 

Antes de prosseguir, provaremos uma generalização de uma das metades 
do teorema 4.1. Esta proposição será utilizada na demonstração do algoritmo 
AKS, no próximo capítulo. 

PROPOSIÇÃO 4.3. Sejam p > 0 um primo e b e k > 0 inteiros. Então, 
(x + b) pk = x pk + b pk em Z p [x]. 
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Note que, ao contrário do que aconteceu no enunciado do teorema 4.1, não 
estamos supondo que mdc(p, 6) = 1. 

Demonstração. A demonstração será por indução em k. Se k — 1, 
o resultado é conseqüência imediata do binômio de Newton e do lema 4.2, à 
maneira do que fizemos na demonstração do teorema 4.1; veja exercício 2. 

Todas as igualdades de polinómios nesta demonstração ocorrem no anel 
Z p [x). Suponha, então, que 

(x + b) pk = x pk + lf 

para algum inteiro k > 1, e vamos provar que uma congruência semelhante 
vale quando substituímos k por k + 1. Mas, 

(22) (* + b) pk+1 = ((* + b) pk ) p = {x pk + V >k ) p , 

pela hipótese de indução. Entretanto, pelo teorema 4.1 

(x + b pk ) p = x p + V’ k+1 . 

Como x é uma variável, podemos substituí-la por qualquer valor que desejar¬ 
mos. Trocando, então, x por x p , obtemos 

(23) (x pk +rf k ) p = x pk+1 + 6 pfc+1 . 

Finalmente, combinando (22) com (23), concluímos que 

(* + bf +1 = (* pk + 6 P V = x pk+1 + tf^, 

como queríamos mostrar. 

Vejamos como o teorema 4.1 pode ser usado para dar uma demonstração 
do teorema de Fermat, ao qual está intimamente relacionado. 

T EOREMA DE FERMAT. Seja p um primo positivo e b um número inteiro. 
Se p não divide b então 

P -1 = 1 (modp). 

Demonstração. Como mdc(ò, p) = 1 então b é inversível módulo p. 
Logo, 

b ?- 1 = 1 (mod p) se, e somente se, IP = b (mod p). 
Provaremos esta segunda congruência, para todo inteiro positivo b, usando o 
teorema 4.1 e indução em b. Isto é suficiente para provar o resultado geral 
porque todo inteiro é congruente a seu resíduo módulo p que, por sua vez, é 
um número não negativo. 

O resultado é evidentemente verdadeiro se b = 0 ou b = 1. Suponhamos 
que bP = b (mod p), e vamos mostrar que (b + l) p = 6+1 (mod p). Mas, 
de acordo com o teorema 4.1, 

(. x + T) p = x p + T p = x p + T em Z p [x]. 



TESTES DE PRIMALIDADE 


Substituindo x por b, obtemos 

(6 + l) p = b 9 + 1 (mod p). 

Entretanto, lf = b (mod p), pela hipótese de indução. Portanto, 

(b +l) p = If + 1 = b+ 1 (mod p ), 
como queríamos mostrar. 

Combinando o teorema de Fermat com o teorema 4.1, obtemos o seguinte 
resultado, que desempenhará um papel chave na nossa investigação. 

COROLÁRIO 4.4. Sejam n eb inteiros positivos primos entre si. Então, 

( x + b) n = x n + b em Z n [x] 
se, e somente se, n é primo. 

Note que a diferença entre o teorema 4.1 e o corolário 4.4 é que o b n do 
lado direito da congruência passou a ser b no corolário. Podemos fazer esta 
troca, quando n é primo, por conta do teorema de Fermat. Por outro lado, se n 
não for primo, a troca não afeta o fato de haver números binomiais que não se 
anulam módulo n. 

A expressão teste de primalidade refere-se a um algoritmo que, tendo por 
entrada um inteiro positivo n, determina se n é, ou não é, primo. Para obter um 
tal teste, precisamos de alguma propriedade que seja verdadeira se, e somente 
se, n for primo, e é exatamente isto que o corolário 4.4 nos dá. Portanto, usando 
o corolário, podemos formular o seguinte teste. 

Teste de primalidade determinístico 
Entrada: inteiro positivo n. 

Saída: mensagem indicando se n é ou não primo. 

Primeira etapa: Calcule todos os termos da expansão (x + b) n em Z n [x]. 
Segunda etapa: Verifique se a expressão obtida na etapa anterior é igual a 
x n + b. Se for n é primo, se não for n é composto. 

Isto é o que se chama de um teste determinístico de primalidade. Ele é 
determinístico porque, seja a resposta primo ou composto, temos a garantia de 
que está correta. Mas, nem todos os testes de primalidade são determinísticos. 
Alguns garantem apenas que o número é primo com uma certa probabilidade, 
que pode ser controlada de acordo com a necessidade do usuário. Na verdade, 
a maioria dos testes de primalidade usados na prática são deste último tipo. 
Mas, por que alguém usaria um teste não determinístico, quando já temos um 
que é determinístico? A resposta está na eficiência deste teste. 

Já que determinar o custo de execução do teste acima exige um certo cui¬ 
dado, vamos nos contentar com uma avaliação muito grosseira. Observe que, 
na primeira etapa, temos que calcular todos os termos de (x + b) n . Como esta 
expressão binomial tem n + 1 termos, o número de operações aritméticas a ser 
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efetuado não pode ser menor que n. À primeira vista isto pode não parecer 
ruim. Só que, anteriormente, vínhamos expressando o custo dos algoritmos 
em função, não da entrada, mas sim do número de bits da entrada. Mas se n 
tiver k + 1 bits, então n > 2 k . Assim, o custo deste teste de primalidade não 
pode ser melhor do que 0(2 k ). Portanto, trata-se de um teste cujo tempo de 
execução é exponencial, o que explica porque não é eficiente. 

2. Testes Não Determinísticos de Primalidade 

Muitos dos testes não determinísticos de primalidade utilizados na prática estão 
baseados no teorema de Fermat. A idéia é muito simples. Digamos que que¬ 
remos saber se um dado inteiro n > 0 é ou não primo. De acordo com o 
teorema de Fermat, se n for primo então para todo inteiro 0 < b < n temos 
que ò n_1 = 1 (mod n). Imagine agora que encontramos um inteiro b, entre 
1 e n — 1, para o qual 6 n_1 ^ 1 (mod n). Então, o teorema de Fermat nos 
garante que n tem que ser composto. 

Composto? Mas, e se queremos mostrar que n é primo? Num momento de 
entusiasmo poderíamos imaginar que a recíproca do teorema de Fermat deve 
ser verdadeira; ou seja, que 

se 6 n_1 = 1 (mod n) então n é primo. 

E estaríamos em boa companhia ao pensar isto, afinal Leibniz achava o mesmo. 
Infelizmente, nem por isso o resultado deixa de ser falso. E muito falso! De 
fato, existem números compostos, conhecidos como números de Carmichael, 
para os quais 

ò" -1 = 1 (mod ri) 

para todo 1 < b < n — 1 que satisfaz mdc(ò, ri) = 1. O menor número de Car¬ 
michael é 561, mas foi demonstrado em 1994 que existe uma infinidade destes 
números; veja [Alford, Granville e Pomerance 1994] para mais detalhes. As¬ 
sim, se n for um número de Carmichael cujo menor fator é muito grande, será 
praticamente impossível detectar isto calculando b n ~ 1 módulo n, mesmo que 
usemos muitos valores diferentes de b. 

Entretanto, nem tudo está perdido. Na verdade, não é difícil modificar a 
idéia de usar a recíproca do teorema de Fermat de modo a obter um teste de 
primalidade muito melhor. Em linhas gerais o que faremos é determinar uma 
propriedade que todo primo deve satisfazer e que é mais forte que o teorema 
de Fermat. Se um número inteiro não satisfaz esta propriedade, então tem que 
ser composto. 

Suponhamos que n > 0 é um número ímpar. Para poder aplicar o teste, 
escolheremos um inteiro 1 < b < n — 1, conhecido como a base do teste. 
Como n é ímpar, n — 1 será par, e podemos escrevê-lo na forma n — 1 = 2 k q, 
onde q é um inteiro ímpar e k > 1. Isto é, fatoramos a maior potência de 2 
possível em n — 1. A seguir, calculamos a seguinte seqüência de potências 
módulo n, 

b q , b 2q ,...,b 2k ~ lq ,b 2kq . 




66 


t. TESTES DE PRIMALIDADE 


Vejamos o que acontece a esta seqüência se n for primo. Em primeiro 
lugar, pelo menos uma destas potências tem que ser congruente a 1 módulo n 
porque, pelo teorema de Fermat 

b 2kq = ò" -1 = 1 (mod n). 

Digamos que j é o menor expoente tal que fr q = 1 (mod n). Se j > 1, 
podemos usar produtos notáveis para escrever 

b 2iq - 1 = (b 2i ~ lq -l)(b 2 ’~ lq + l). 

Como estamos supondo que n é primo e divide b 2 q — 1, então, n divide 
ò 2 q — 1, ou n divide ò 2 q + 1. Mas j é o menor expoente tal que b 29 — 1 é 
divisível por n. Portanto, b 23 q — 1 não pode ter n como fator. Logo b 2 q +1 
tem que ser divisível por n; isto é,b 2 q = — 1 (mod n). Note, entretanto, 
que estes cálculos dependem do fato de que j > 1 e, portanto, não podem ser 
efetuados se b 9 = 1 (mod n). Concluímos, assim, que: 

Se n é primo então, ou a seqüência 
(24) b q ,b 2q ,...b 2k ~ lq 

módulo n, começa com 1, ou tem —1 em alguma de suas 
posições (incluindo a primeira). 

Portanto, se nenhuma destas duas coisas é verificada para n, com respeito a 
algum b entre len- 1, então podemos estar seguros de que n é composto. 

Analisando em detalhe o argumento utilizado para chegar à conclusão do 
parágrafo acima, verificamos que a primalidade de n foi usada em dois pon¬ 
tos cruciais. Em primeiro lugar, precisamos que n fosse primo para garantir a 
existência de um 1 em alguma posição da seqüência. Em segundo lugar, usa¬ 
mos que n é primo para assegurar que, se o produto notável fosse congruente 
a 0 módulo n, o mesmo ocorreria com um dos seus fatores. 

O problema é que, mais uma vez, temos um teste que apenas detecta se o 
número é composto. Por exemplo, calculando a seqüência (24) com n = 2047 
e b = 2, obtemos somente o termo 

2 1023 = 1 (mod 2047), 

pois n— 1 = 2046 = 2-1023. Logo, o número 2047 comporta-se como se fosse 
um número primo, com respeito à condição explicitada acima. Entretanto, 
2047 = 23 • 89, é um número composto. 

O algoritmo que implementa este teste é o seguinte. 

Teste forte de composição 

Entrada: um inteiro ímpar n, que se quer testar, e a base 6, onde 1 < b < 
n — 1. 

Saída: uma das mensagens: ‘n é composto’ ou ‘teste inconclusivo’. 

Etapa 1: Divida n — 1 sucessivamente por 2 até encontrar q (um número 
ímpar) e k tais que n — 1 = 2 k q. 
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Etapa 2: Comece fazendo i = 0 e r = resíduo de b q por n. 

Etapa 3:Seí = 0er=lousei>0er = n- la saída é ‘teste 
inconclusivo ’. 

Etapa 4: Incremente i de 1 e substitua r pelo resto da divisão de r 2 por n. 
Etapa 5: Se i < k — 1 volte à etapa 3, senão a saída é‘né composto’. 

O nome que demos ao teste merece uma explicação. Em primeiro lugar, 
preferimos chamá-lo teste de composição, em vez de teste de primalidade, 
porque já sabemos que a única coisa que ele detecta com segurança é que um 
número é composto. Em segundo lugar, o adjetivo forte foi acrescentado para 
distingui-lo do teste do início da seção. Afinal, aquele teste é mais fraco que 
este, pois verifica apenas a congruência de Fermat. Pelo resto da seção vamos 
nos referir ao teste acima, abreviadamente, como teste forte. 

O teste forte foi proposto originalmente por M. Artjuhov em um artigo (em 
russo) publicado em 1967. Redescoberto mais tarde por J. Selfridge, foi popu¬ 
larizado através dos trabalhos de M. Rabin e de G. L. Miller em 1976. O que 
eles propuseram, foram maneiras de tornar o teste mais efetivo, aplicando-o a 
várias bases diferentes. Para entender melhor como isto é possível, vamos com¬ 
parar o teste forte ao teste mais ingênuo do início desta seção. Para começar, 
não existe nada semelhante a um número de Carmichael relativamente ao teste 
forte. Mais precisamente, se o teste forte tiver saída inconclusiva quando apli¬ 
cado a mais de n/4 bases no intervalo que vai de 1 a n — 1, então n será 
necessariamente primo. Uma demonstração deste fato pode ser encontrada 
em [Crandall e Pomerance 2002, seção 3.4] e também em [Monier 1980] e 
[Rabin 1980], onde o resultado foi originalmente provado. Talvez você esteja 
pensando: 

“grande coisa, se n for da ordem de IO 200 isto significa¬ 
ria aplicar o teste a 10 200 /4 bases, o que é evidentemente 
impossível!” 

Apesar disto ser verdade, há uma maneira muito mais satisfatória de inter¬ 
pretar esta afirmação. Suponha, como antes, que n é um inteiro ímpar com¬ 
posto. Note que, ao escolher b aleatoriamente, há uma probabilidade de apenas 
1/4 de que b seja escolhido de modo que n teste inconclusivo com respeito 
ao teste forte. Portanto, se um dado n testar inconclusivo para uma base b 
então a probabilidade de que seja composto é de 1 /4. Entretanto, se testarmos 
duas bases, e se n testar inconclusivo para ambas, então a probabilidade cai 
para (1/4) 2 = 1/16. Continuando assim vemos que, se n testar inconclusivo 
para 10 bases distintas, então a probabilidade de que seja composto caiu para 
(1/4) 10 , que é da ordem de 10 -6 . É claro que um tal número é quase que 
certamente primo. Esta é a estratégia adotada para testar primalidade em quase 
todos os sistemas de computação algébrica. 

Seja como for, ainda há um ‘quase’ presente, e que é muito significativo: 
não importa quantas bases escolhermos, sempre haverá um número composto 
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n que testará inconclusivo para o teste forte com respeito a todas estas bases. 
Naturalmente, quanto maior for o número de bases, maior será n. 

3. Exponenciação 

Até aqui, descrevemos um teste probabilístico de primalidade e discutimos suas 
chances de determinar, efetivamente, que um dado inteiro ímpar é primo. En¬ 
tretanto, a afirmação feita no final da seção 1 ia além disto. De fato, dissemos 
também que um tal teste teria custo polinomial, ao contrário do teste deter- 
minístico cujo custo é exponencial. Para verificar a veracidade desta afirmação 
precisamos analisar a eficiência do teste forte. 

Em primeiro lugar, o teste precisa descobrir qual é a maior potência de 
2 que divide n — 1. Como n — 1 está representado no computador em base 
2, isto tem custo praticamente zero. O que realmente importa, portanto, é o 
custo de calcular a seqüência (24). Mas se n — 1 = 2 k q, onde q é ímpar, 
estaremos calculando, no máximo, k potências de b. Como k < log 2 n, o 
teste será polinomial desde que possamos calcular cada potência a um custo 
polinomial. O problema é que a maneira usual de calcular b q é usar o fato de 
que b q = b q ~ 1 • b. Em outras palavras, para chegar a b q , o que calculamos de 
fato são os números 


b-b, b 2 -b, b 3 ■ b, ... , b q ~ 4 • b 
b 2 b 3 b 4 b q 


Contudo, efetuamos q— 1 multiplicações para calcular esta seqüência, de modo 
que este algoritmo terá um custo exponencial. 

Por sorte, o problema se restringe a uma escolha inadequada de algoritmo. 
Para solucioná-lo basta utilizar um procedimento que calcula a potência “um 
quadrado de cada vez”. O curioso é que os Egípcios do tempo dos Faraós 
utilizavam um método semelhante para calcular os múltiplos de um número 
[Ritter 1997, p. 70]. 

Para entender melhor a estratégia deste novo algoritmo, digamos que qui¬ 
séssemos calcular b 2 . Enquanto o procedimento anterior baseava-se no fato 
de que b 2 = b ■ b 2 ~ 1 , nossa estratégia agora será baseada na fórmula b 2 = 
( b 2r ) 2 . Portanto, obtemos b 2 calculando a seqüência 

b-b, b 2 - b 2 , b 4 ■ b 4 , ... , b r ~ x ■ b 2 "' 1 
b 2 b 4 b 8 b 2r 

Neste caso, efetuamos apenas r quadrados, de modo que o número de multi¬ 
plicações necessárias é polinomial. 
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Vejamos, em mais detalhes, como o algoritmo funciona. Suponhamos 
que são dados três inteiros positivos a, e e n. O algoritmo deverá calcular 
o resíduo de a e módulo n, usando a expansão binária do expoente. Digamos 
que e = (b m , ..., 60)2- Como 

e = b m 2 m + • • • + òi2 + 60, 

teremos que 

CL e = ( a 2 )fr m 2 m_1 H-I-Ò22+Ò1 # a b 0 

Observe que a b ° pode valer 1 (se Òq = 0 ) ou a (se 60 = 1 ). Seja P\ = a b °; 
continuando, temos 

o e = (a 4 ) 6 ”* 2 ” 1-2 " 1 —1-632+62 . ( a 2 ) 6 ip 1 
Seja P2 = ( a 2 ) bl Pi ; temos então 

0 e = ( a 8)*>m2— 3 + -+642+63 . ( a 4 ) 6 2 p 2 

Continuando assim, teremos uma seqüência de inteiros P\, P2, ■ ■ ■ P m onde 
P m = a e . Naturalmente se estamos calculando em Z„, efetuaremos a redução 
módulo n de cada uma das multiplicações que aparecem no algoritmo. Assim, 
em cada etapa, há apenas duas multiplicações básicas: 

(i) o cálculo de um quadrado para obter a seqüência de potências; 

(ü) o produto a 2 'Pi, para i = 1,2 ,n. 

Além disso, se na etapa i temos 6, = 0 , então não é necessário efetuar o 
produto a 2 *Pi. Isto nos permite determinar aproximadamente o número de 
multiplicações necessárias para calcular a e . Por (i) o número de quadrados 
que precisamos calcular é aproximadamente log 2 e; ao passo que, por (n) há 
tantas multiplicações quanto há algarismos 1 em e. Denotando por w(e ) este 
último número, concluímos que o número de multiplicações é aproximada¬ 
mente log 2 e + w(e) < 2 log 2 e + 1. 

Na prática o algoritmo determina a expansão binária de e à medida que 
calcula a potência. De fato, se e é ímpar então 60 = 1 ; se par, então b 0 = 0 . 
Podemos determinar b\ de maneira semelhante, analisando a paridade de 
b m 2 m 4 + • • • + 622 + 61. 

Observe que este último número é e/ 2 , se e é par, e (e — l )/2 se e é ímpar; e 
assim por diante. O algoritmo é o seguinte: 

Algoritmo de exponenciação 

Entrada: Inteiros a, e e n, onde a,n> 0 e e > 0 . 

Saída: a forma reduzida de a e módulo n. 

Etapa 1: Comece com A = a, P = 1 e E = e\ 

Etapa 2: Se E = 0 imprima P e páre; senão vá para a etapa 3 ; 

Etapa 3: Se E for ímpar então atribua a P o valor do resto da divisão de A ■ P 
por n e a E o valor (E — l )/2 e vá para etapa 5 , senão vá para a etapa 4 ; 
Etapa 4: Se E for par então atribua a E o valor Ej 2 e vá para a etapa 5 ; 
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Etapa 5: Substitua o valor atual de A pelo resto da divisão de A 2 por nevá 
para a etapa 2. 

Já sabemos que o número de multiplicações que o algoritmo precisa efe¬ 
tuar é aproximadamente igual a 2 log 2 e. Entretanto, isto não representa o custo 
real do algoritmo, porque ainda precisamos levar em conta o custo de cada 
multiplicação módulo n. Mas, a multiplicação de duas classes ãeb em Z n 
é feita em duas etapas. Primeiro, efetuamos a multiplicação de inteiros ab ; 
depois, dividimos ab por n e tomamos o resto. Como a. b < n, o custo de 
multiplicá-los será 0((log 2 nj 2 j, e o custo de dividir ab < n 2 por n também 
será 0((log 2 n) 2 ). Levando em conta que efetuamos 21og 2 e multiplicações 
módulo n para calcular a e módulo n, concluímos que o custo total será da 
ordem de 0((log 2 e)(log 2 n) 2 ). 

Finalmente, retornando ao teste forte, temos que o exponente de cada 
potência não pode exceder n — 1. Portanto, neste caso, e < n e assim, o 
custo de calcular b q é da ordem de 0((log 2 n) 3 ). Para determinar o resto da 
seqüência precisamos ainda calcular alguns quadrados. Mas não pode haver 
mais do que log 2 n quadrados, e o custo de calcular cada um é 0((log 2 ri) 2 ) 
pela discussão anterior. Deste modo, o custo total de aplicar o teste forte é de 
0((l°g 2 n) 3 ), de modo que o teste é realmente polinomial. 

Ainda há um ponto importante, para o qual precisamos chamar a sua 
atenção. Embora o algoritmo de exponenciação descrito acima possa ser utili¬ 
zado para calcular potências em qualquer anel, nem sempre ele terá uma per¬ 
formance polinomial. Isto ocorre, por exemplo, se o algoritmo for utilizado 
para potências de inteiros ou polinómios. Para entender melhor qual é o pro¬ 
blema, digamos que desejamos calcular a e , onde a = e = 2 r . Para isso, 
teremos que efetuar r multiplicações. Contudo, o custo destas multiplicações 
não será fixo. Por exemplo, como a = 2 r é um inteiro com r + 1 bits, então 
o 2 = 2 2r terá 2r + 1 bits. Logo, se o custo de calcular a 2 é 0(r 2 ), o custo 
de calcular (a 2 ) 2 será 0(4r 2 ). Portanto, o custo total para calcular a e neste 
exemplo será da ordem de 

r 2 + (2r) 2 + (4r) 2 + • • • + (2 '"V) 2 , 

ou seja 0(2 r ) e, portanto, exponencial. Uma análise semelhante se aplica à 
exponenciação de polinómios, mesmo que os coeficientes estejam em Z„. Por¬ 
tanto, o custo do teste determinístico da seção 1 não vai deixar de ser expo¬ 
nencial, mesmo se usarmos o algoritmo de exponenciação desta seção para 
calcular (x + b) n . 

4. Balanço 

Neste capítulo estudamos dois testes de primalidade representativos da situação 
anterior ao aparecimento do AKS. Estes testes se dividem em duas categorias. 
De um lado estão os testes determinísticos, como o que foi apresentado na 
seção 1. Tendo como entrada um inteiro ímpar n, estes testes certificam se n 
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é primo ou composto. O problema é que têm uma performance que se torna 
rapidamente muito ruim à medida que n cresce. Mais precisamente, têm custo 
exponencial. 

Do outro lado estão os testes probabilísticos, como o teste forte de com¬ 
posição. Neste caso, o problema não é a performance, já que têm um custo 
polinomial, mas sim o fato de que o teste apenas garante que o número é primo 
dentro de uma certa margem de erro. 

A beleza do AKS é que reúne o melhor desses dois mundos: apesar de ser 
um teste determinístico, tem um custo polinomial. 

Entretanto, a análise deste capítulo não esgota todos os tipos de teste de 
primalidade existentes antes do surgimento do AKS. Do que dissemos pode 
até ficar a impressão de que seria impossível, até uns anos atrás, determinar 
com segurança que um número grande era primo - o que, definitivamente, não 
era verdade. O fato é que existe uma categoria de testes de primalidade que 
não abordamos anteriormente, e que são uma espécie de simétrico dos que 
foram discutidos na seção 2. De fato, ao passo que só podemos ter confiança 
absoluta no teste forte quando retorna que o número é composto, há testes de 
primalidade em que só podemos confiar se retornam que o número é primo. 
A esta categoria pertencem os testes descobertos de E. Lucas, e mencionados 
na introdução. Mais detalhes podem ser encontrados nos capítulos 9 e 10 de 
[Coutinho 2001], 

5. Exercícios 

1. O objetivo desta questão é dar uma outra demonstração do teorema de Fer- 
mat. Seja p > 2 um primo e b um inteiro que não é divisível por p. Então 
b e U(p). 

(a) Mostre que o conjunto 

{5 • T, b • 2,..., b ■ p- 2, b ■ p- 1}, 

é igual aU(p). 

(b) Mostre que 

g> ■ I) ■ (b • 2) • • ■ (6 - P-&Í- (b ■ P ■-;& — tjl. 

(c) Cancelando (p— 1)! conclua que 1 = 1 (mod p). 

2. Seja p > 2 um primo. Prove que 

(x + b) p = x p + b P em Z p [x], 
qualquer que seja o inteiro 6. 

3. Prove que, se n > 1 e mdc(6 íl — b,n ) = 1 para algum inteiro b, então n não 
pode ser uma potência de primo. 
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4. Um número ímpar composto n que satisfaz b n ~ 1 = 1 (mod n) é chamado 
de pseudoprimo para a base b. Mostre que 341,1729 e 2047 são pseudopri- 
mos para a base 2. Quais destes números também são pseudoprimos para a 
base 3? E para a base 5? 

5. Um número ímpar composto n que testa inconclusivo para o teste forte com 
respeito a uma base b > 0 é chamado de pseudoprimo forte para a base b. 
Mostre que 2047 e 1373653 são pseudoprimos fortes para a base 2. Quais 
destes números também são pseudoprimos para a base 3? E para a base 5? 

6. Prove que todo pseudoprimo forte para a base b é um pseudoprimo para esta 
mesma base. Dê um exemplo para mostrar que a recíproca desta afirmação 
é falsa. 

7. Seja n > 2. Mostre que se ò” -1 = 1 (mod n) para todo inteiro b que é 
relativamente primo a n, então n é ímpar. 

8. Seja n um número composto ímpar. Mostre que o conjunto das bases 1 < 
b < n com relação às quais n é um pseudoprimo forma um subgrupo de 
U(n). 

9. Mostre que todo número de Fermat F(n) = 2 2 " + 1 composto é um pseu¬ 
doprimo para a base 2. 

10. Seja p > 5 um primo e considere o número n = (4 P + l)/5. 

(a) Mostre que n é inteiro. 

(b) Mostre que 

4 P + 1 = (2 P - 2 (p+1)/2 + 1)(2 P + 2 (p+1)/2 + 1), 

e conclua que n é composto. 

(c) Mostre que n — 1 = 2 2 b, onde b é um número ímpar. 

(d) Use o teorema de Fermat para mostrar que b é divisível por p. 

(e) Prove que 2 2b = -1 (mod n). 

(f) Mostre que n é um pseudoprimo forte para a base 2. 

11. Seja p > 5 um primo. O número n — (4 P + l)/5 é necessariamente um 
pseudoprimo forte para a base 3? 

12. Seja n um inteiro positivo. 

(a) Mostre que n — 1 tem sempre ordem 2 em U (n). 

(b) Mostre que, se p é primo, então o único elemento de ordem 2 de U (p) 

éK=T. 

(c) Mostre que, se p é primo, então o produto de todos os elementos de 
U{p) éigualan- 1. 

(d) Mostre que, se n é composto, então (n — 1)! = 0 (mod n). 
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(e) Prove o teorema de Wilson, segundo o qual 
(n - 1)! = —1 (mod n) 
se, e somente se, n é primo. 

13. Mostre como usar o teorema de Wilson para descrever um teste determinís- 
tico de primalidade. Analise a eficiência deste teste, e mostre que é expo¬ 
nencial. 




Capítulo 5 
O algoritmo AKS 


Finalmente é chegada a hora de descrever o algoritmo AKS, de provar que 
funciona corretamente e que é um algoritmo polinomial. 

1. O teorema fundamental 

Nesta seção provamos o teorema sobre o qual está baseado o algoritmo AKS. 
Antes, porém, precisamos isolar um lema que será usado na demonstração do 
teorema. 

LEMA 5.1. Sejam n, r eb inteiros positivos e p > 1 um número primo. 
Suponha que 

(x + b) n = x n + b em Z p [x]/{x r — 1). 

(x + bf* 1 =x ni ^ +bem Z p [x]/{x r — 1), 
quaisquer que sejam os inteiros i, j > 0. 

Demonstração. Em primeiro lugar provaremos, por indução em i, que 
(25) (x + b) n =x n '+be m Z p [x\/(x r — 1), 

qualquer que seja i > 0. 

O resultado é imediato quando i = 0, e coincide com a hipótese do lema 
quando i = 1. Suponhamos, então, que a congruência (25) vale para algum 
i > 0 e vamos provar a congruência análoga para i + 1. Da hipótese do lema, 
segue que 

(x + b) n = x n + b + q(x)(x r - 1), 

para algum q(x) e Z p [x\. Substituindo x por x n ‘ nesta equação, obtemos 

(x n ' + b) n = x n ' +1 + b + q(x n ')(x n ' r - 1). 

Mas, 

x nir - i = ( x r ) ni - i = i - i = Ô em Z p /{x r - 1), 

de modo que 

{x n% + b) n = x n ' +1 +6 em Z p [x\/(x r — 1). 

Entretanto, pela hipótese de indução, 

(x + b) ni+1 = ((x + b) ni ) n = {x n% + b) n 
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em 'L p [x}/(x r — 1). Portanto, 

(x + b) n ' +1 = x n%+1 + b em Z p [x\/(x r - 1), 

o que prova (25). 

Por outro lado, pela proposição 4.3 da página 62, 

(x n ‘ + 6) pJ = x nipJ + í/ em Z p [x]. 

Combinando esta igualdade com o teorema de Fermat, obtemos 

(. x n + b) p3 = x n ‘ ir> -ríb em Z p [x]. 

Contudo, qualquer igualdade em Z p [a;] dá lugar a uma igualdade no quociente 
Zp[x]/(x r — 1). Assim, segue da equação (25) e do que acabamos de fazer que 

(x + b) nip3 = (x ni + b) pi = x nipj + b 
em Zp[x}/{x r — 1), o que completa a demonstração do lema. 

Estamos prontos para provar o resultado que está na raiz do algoritmo 
AKS. Trata-se de uma variante, devida a H. W. Lenstra Jr, do teorema original¬ 
mente obtido por Agrawal, Kayal e Saxena. Este teorema deve ser comparado 
ao corolário 4.4 da página 64. Lembre-se que o obstáculo a construir um teste 
de primalidade rápido a partir daquele corolário estava no alto custo de calcu¬ 
lar (x + b) n em Z n [x\. A idéia por trás do próximo teorema é que este cálculo 
pode ser substituído pelo de (x + b) n em Z n [x]/{x r — 1), para uma quanti¬ 
dade suficientemente grande de primos r. Note que este último cálculo tem um 
custo menor que o anterior, visto que as potências de x estão limitadas a a : r ~ 1 
pela congruência. 


TEOREMA 5.2. Sejam n > 2 e r > 1 inteiros positivos, e seja S = 
{1, 2,..., r}. Suponha que: 

(i) r é um primo que não divide n; 

(ii) mdc(n, b — b’) = 1, quaisquer que sejam beb’ distintos em S; 
(Ui) a desigualdade 


vale para qualquer inteiro positivo d que divide (r — I) fv, onde v é 
a ordem de n em U (r); e 
(iv) a igualdade 

(x + b) n = x n + b 

é verificada em Z rt [x] / (x r — 1) para cada b £ S. 

Então n é uma potência de primo. 
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Demonstração. Seja p > 2 um primo que divide n. Como n e r 
são primos entre si, e p divide n, então mde(r, p) = 1. Portanto, as classes 
de n e p são inversíveis em Z r . Podemos, então, construir o grupo quociente 
U(r)/(n , p) . Digamos que este grupo tem ordem d. Pelo teorema de Lagrange, 
a ordem v de n em U(r) divide a ordem de ( n,p }, que é igual a (r — 1 )/d. 
Portanto, d divide ( r — 1) /v em conformidade com o que estamos assumindo 
na hipótese (iii). 

Suponhamos que mi,..., rri,i são inteiros que representam as d classes 
que correspondem aos elementos distintos do grupo quociente U(r)/(n,p). 
Seja h um fator irredutível do polinómio x r — 1 em Z p [x\. Pelo corolário 3.8, 
da página 57, o anel quociente K = Z p [x\/(h) é um corpo finito. Denotaremos 
por G o subgrupo do grupo multiplicativo K * gerado pelos elementos x mi + b, 
onde 1 < i < deb G S. 

A maior parte da demonstração consiste em mostrar que o grupo G é 
“grande o suficiente”. Mais precisamente: 

(26) #(G) > n 2 L\ / ( T - 1) / d J, 

Por isso vamos completar a demonstração do teorema supondo que esta cota 
inferior para a ordem de G é verdadeira. Só depois provaremos a cota detalha¬ 
damente. 

Demonstração do teorema 5.2 usando a cota (26). Considere os 
produtos 

nV para 0 <i,j < |V(r - l)/dj. 

Em particular, 

(27) 1 < »y < rt 2 L $lF, 

já que p < n. Cada classe e Z r pertence ao subgrupo (n,p) de U(r). 
Mas, 

#U(r) _ (r-1) 

#(n,p) #{n,pY 

de modo que o subgrupo (n, p) tem ordem (r — 1) /d. Portanto, não pode haver 
mais do que (r — 1)/d elementos distintos da forma n l p> em Z r . 

Por outro lado, como i e j variam a partir de 0 (e não de 1), há um total de 

(IV(r- !)/dJ + 1 ) 2 Pares 

(i,j) com 0 < i,j < L \/(r - l)/dj. 

Isto significa que as classes rd pi não podem ser todas distintas em Z r . Por¬ 
tanto, existem pares 

(28) (fei,^i) ^ (k 2 ,l 2) tais que n kl p (l = n k2 p Í2 (mod r). 

Digamos que u = n k ' //' e que v = n k2 p (: ' 2 . Suponhamos que v > u. 

Como u = v (mod r), então v = u + qr, para algum inteiro positivo q. Mas, 

x u+qr = x u {x r ) q = x u em Z p [x]/{x r - 1), 
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de modo que 

x v = x u em 1, p [x}/(x r — 1). 

Como h(x) divide x r — 1, concluímos que 

(29) í” = í“ em K = Z p [a;]/(/i). 

Porém, por (iv) e pelo lema 5.1, 

m*-+^)“=m** +b) nkipti = + b, 

bes bes bes 

de modo que a igualdade (29) implica que 

nr *+w = nr'+r 

6es 6es 

Como estes produtos geram G, temos que g v = g u em K para todo g £ G. Em 
particular, todos os elementos de G U {0} são soluções da equação polinomial 
y v - y u em K. 

Contudo, a desigualdade (27) implica que 

( V -U) + 1 < n 2|y(r-t)/<i| ; 
e combinando esta desigualdade com (26), obtemos 
#(G) > (v - u) + 1. 

Como G C K, concluímos que o polinómio 

y v -y u = y u {y v ~ u - 1) 

tem, pelo menos, (v — u) + 1 soluções não nulas em K. Mas, isto não pode 
acontecer se v — u > 0, pelo corolário 3.7 da página 57. Logo 

n kl p ei = u = v = n k2 p Í2 . 

Porém, ki = k-i implica que p f ' = j/ 2 ; donde (fc-|,£-[) = o que 

contradiz a escolha destes pares. Logo ki ^ k- 2 - Só que, neste caso, 

n kl ~ k2 = p e2 ~ ei , 

de modo que n tem que ser uma potência de p como queríamos provar. 

Demonstração da COTA (26). Para completar todos os detalhes da de¬ 
monstração do teorema, falta apenas provar a cota dada na equação (26). Fare¬ 
mos isto construindo, explicitamente, uma quantidade suficientemente grande 
de elementos de G. Com este fim, introduzimos a aplicação que a cada função 
e : S —> N associa a d-upla 

{êix 1711 ),..., ê(£ md )), 
onde ê é o polinómio definido por 

ê(y) = m^) e(6) - 

bes 

Como sempre x denota a classe de x em K = ’L P [a;] / ( h). Portanto, as entradas 
desta d-upla são elementos de G. 
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Mostraremos primeiro que esta aplicação associa d-uplas distintas a certas 
funções distintas. Sejam e\ e funções de S em N. Se as d-uplas associadas 
a ei e e2 coincidirem, então 

(30) êi(x mi ) = ê2(x mi ) em K, 

para todo 1 < i < d. Porém, por (iv), e pelo lema 5.1, 

e~i(2 m T V - l[{{x mi +b) e ^) nkpe = IJ(í m< " V +ò) ei(6) = ei {W ninkpt ), 

bes bes 

em r L [ \x\l{x r — 1), para todo k. t > 0. Entretanto, como h é um fator de 
x r — 1, qualquer igualdade que vale em Z p [x\/(x r — 1) também vale em K = 
Z p [x]/(h). Logo, 

(31) êi{x minkpe ) = Í2{x minkpe ) em K para todo 1 < i < d. 

Ponha g(x) = êí(x) — ê^ix). Como m i, • • •, ma são representantes distintos 
de cada uma das classes de U (r) / {n,p) então, dado um inteiro 1 < a < r — 1, 
existem k,£ £ N, tais que 

a : rriin k p e (mod r). 

Assim, a = rn^j/ + tr para algum inteiro t. Portanto, 

g(x a ) = g(x m ' nkpe (x r f) = g(x minkpe ) em 1 p [x\/(x r - 1), 
já que x r = 1 em Z p [x]/(x r — 1). Como h é fator de x r — 1, então 
g(x a ) = g(x minkpt ) e m Z p [x]/(h), 
donde segue, por (31), que 

(32) g(x a ) =0 em Z p [x]/(h) = K. 

Considere, agora, o conjunto 

R = {x a : 1 < a < r - 1} Ç K. 

Como h(x) divide x r — 1, então x T = 1 em K. Contudo, r é primo, de modo 
que, pelo lema chave da página 33, x tem ordem r em K*. Em particular, os 
elementos de R são todos distintos. Mas, por (32), cada elemento de R é raiz 
de g(y) em K. Então, pelo corolário 3.7 da página 57, temos que g(y) tem 
grau pelo menos j— 1 como polinómio de Z p [y\. Assim, supondo que 

(33) E e i( ò ) e E e 2( ò ) são menores que r — 1, 

bes bes 

concluímos que ê{(y) = êi(y) em Z p [y\. Entretanto, pela hipótese (ii), 

(y + b)-(y + V)=b-V^0 em Z p [y\. 

Logo, dois elementos distintos b e b' de S dão lugar a polinómios irredutíveis 
distintos y + b e y + b' em Z p [y\. Portanto, pelo Teorema da Fatoração Única 
para polinómios, êi(y) = è-i(y) só pode acontecer, sob a hipótese (33), se 
as funções e\ e e2 forem iguais. Em particular, o conjunto das d-uplas de 
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elementos de G tem, pelo menos, tantos elementos quantas são as funções 
e : S —> N para as quais Ylbes e W < r — 1- Contudo, esta equação linear tem 
/2r — 2\ 


soluções inteiras não negativas, de modo que 

#{G) d > ( 2r “ 2 )' 

Combinando esta desigualdade com a hipótese (iii), concluímos que 
#(G) d > n 2d iVraTdJ, 
donde a equação (26) segue imediatamente. 


2. O algoritmo AKS 

Nesta seção enunciamos o algoritmo AKS, conforme a modificação sugerida 
por Lenstra, e provamos que funciona. Deixaremos o estudo do custo deste 
algoritmo para a próxima seção. Lembre-se que, se a é um número real, então 
[a] denota o menor inteiro maior que a. 

Algoritmo AKS 

Entrada: um inteiro positivo ímpar n. 

Saída: primo ou composto. 

Etapa 1 : Verifique se n é um quadrado, cubo ou outra potência de um número 
inteiro. Se for imprima composto e páre. 

Etapa 2: Calcule 

N = 2 n(n — l)(n 2 — l)(n 3 — 1) • • • (n 4 r iog2 "l - 1) 
e determine o menor primo r que não divide N. 

Etapa 3: Verifique se n é divisível por algum primo q < r. Se for, e se 

• q = n, imprima primo e páre. 

• q < n, imprima composto e páre. 

Etapa 4: Verifique se 

(x + b) n = x n + b em Z n [x]/( x r — 1), 
para cada b € S = {1,2,..., r}. Se a congruência não for verificada para 
algum b £ S, imprima composto e páre. 

Etapa 5: Se a congruência for verificada para todo b £ S, imprima primo e 
páre. 


Antes de continuar precisamos verificar se de fato sabemos executar cada 
uma destas etapas. Mesmo uma leitura superficial mostra que as etapas 2, 4 e 
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5 não apresentam nenhum problema. Para a etapa 3 podemos usar o crivo de 
Eratóstenes: geramos os primos de 2 a r e verificamos se dividem ou não n. 

Com isto resta-nos apenas considerar a primeira etapa, que aliás nada tem 
a ver com a teoria que desenvolvemos nos capítulos anteriores. Uma estratégia 
simples para executá-la consiste em mostrar que a equação x k — n = 0 não 
tem raiz inteira para nenhum inteiro k > 0. Isto pode ser feito, por exemplo, 
usando-se uma variação do método de Newton, como é explicado no apêndice. 
Na próxima seção veremos como estimar o maior valor que k pode assumir. 

Naturalmente a demonstração do algoritmo será feita a partir do teorema 
5.2. É fácil relacionar cada uma das etapas do algoritmo às hipóteses e à con¬ 
clusão do teorema 5.2, com exceção da segunda. Mas, como veremos a seguir, 
o objetivo da segunda etapa é forçar n a ter uma ordem alta em U{r)\ o que 
por sua vez garante a validade da hipótese (iii) do teorema 5.2. 


Demonstração do algoritmo AKS. Suponhamos, primeiramente, que 
n seja primo. Se por acaso n for menor que o primo r encontrado na etapa 
2, então o algoritmo o detectará corretamente. Caso contrário, o algoritmo 
executará a quarta etapa. Como estamos supondo que n é primo então, pelo 
teorema 4.1 da página 61, a congruência será satisfeita para todos os b £ S. 
Portanto, o algoritmo retomará primo também neste caso. 

Reciprocamente, suponhamos que o algoritmo tem saída primo. Isto signi¬ 
fica que o algoritmo parou na etapa 3, ou na etapa 5. Se parou na terceira etapa 
afirmando que n é primo, então podemos estar certos de que isto é verdade, 
porque tudo o que fizemos foi uma busca sistemática pelos primos menores 
que r. Resta-nos mostrar que, se o algoritmo chegar a executar a etapa 5, então 
n também é primo. 

Mas, para que a etapa 5 seja executada, é preciso que o algoritmo deter¬ 
mine, na etapa 2, um primo r que não divide 

N = 2 n(n - 1 )(n 2 - l)(n 3 - 1) • • • (n 4 ^"! 2 - 1). 


Em particular, isto garante que a hipótese (i) do teorema 5.2 é satisfeita. Por ou¬ 
tro lado, pela etapa 3 do algoritmo, n não é divisível por nenhum primo menor 
que r. Como S = {1,2,..., r}, isto significa que a hipótese (ii) do teorema 
5.2 também é satisfeita. Levando em conta que a hipótese (iv) do teorema 5.2 
é verificada diretamente nas etapas 4 e 5, falta-nos apenas considerar hipótese 
(iii). 

Mas, r não divide N, de modo que 

n k ^ 1 (mod r) para todo 1 < k < 4[~log 2 n] 2 . 

Portanto, a ordem v de n em U(r) tem que ser maior do que 4[~log 2 n] 2 . Seja, 
agora, d um inteiro positivo que divide (r — l)/o. Então, 


- (r~ 1) 


(r-1) (r — 1) 

4 [log 2 n] 2 4(log 2 n) 2 ' 


( 34 ) 
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W - 2d y V 1= ^ 4d(r_i) - 

Combinando esta última desigualdade com (34), obtemos 


log 2 n ’ 


de modo que 


n 2d|y(r-l)/dJ < n (r-l)/log 2 n = 2 (r-l;). 

pois log 2 (n) log n (2) = 1. Por outro lado, 


já que r > 2; veja exercício 3. Portanto, 
(2r - 2 ' 


> 2 r “ 1 > n 2dLV(r-l)/dJ _ 


Mas esta é a hipótese (iii) do teorema 5.2. 

Provamos, até aqui, que se o algoritmo retorna primo então todas as hi¬ 
póteses do teorema 5.2 são satisfeitas. Portanto, pelo teorema, n = p e , para 
algum primo p > 1. Mas n não pode ser igual a nenhuma potência de inteiro 
com expoente igual ou maior do que 2, pela etapa 1. Logo e = 1 e n é primo. 


3. Custo do algoritmo 

Estamos prontos para proceder à análise do custo do algoritmo AKS. Fare¬ 
mos isto considerando cada etapa do algoritmo separadamente e mostrando 
que pode ser executada em tempo polinomial. Naturalmente, isto se restringe 
às quatro primeiras etapas, uma vez que não estamos executando nenhuma 
operação aritmética na etapa 5. 

Análise da etapa 1. Na etapa 1 do algoritmo determinamos se existem 
inteiros positivos a>le/c>lde modo que a k = n. A primeira coisa a 
fazer é descobrir qual é o maior valor que k pode assumir. Mas k será máximo 
quando a for mínimo; ou seja, se o = 2. Neste caso teríamos n = 2 k , donde 
k = log 2 n. Logo podemos concluir que 2 < k < log 2 n. 

Um método pelo qual podemos determinar se n é ou não a fc-ésima po¬ 
tência de um inteiro está descrito detalhadamente no apêndice. A análise deste 
método mostra que seu custo é inferior a 0((log 2 n) 6 ). Como o algoritmo pre¬ 
cisa ser executado log 2 n vezes, obtemos um custo total inferior a 0((log 2 n) 7 ) 
para esta etapa. 

Análise da etapa 2. Para provar que a etapa 2 pode ser executada em tempo 
polinomial, basta mostrar que o menor valor possível do primo r é limitado 
superiormente por um polinómio em log 2 n. 
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Seja to = 4["log 2 n] 2 . Tomando logaritmos na base 2, temos que 
log 2 N = 1 + log 2 n + J2 1 °S2(« i - !)• 

Mas log 2 (n* — 1) < i log 2 n, donde 

(35) log 2 N < 1 + log 2 n + Y^i log 2 n < 1 + ^1 + ^ ^ l 0 g 2 n. 

Como to < 4(log 2 ri) 2 + 1, concluímos que existe um inteiro 

(36) log 2 N < k < 2 + (l + "> 2 + "> 2 ) lo 6a n. 

Note que somamos 1 ao lado direito da desigualdade (35) para poder garantir 
que existe um inteiro k no intervalo desejado. Em particular, N < 2 k . Mas, 
pelo teorema 1.2 o produto dos primos menores ou iguais a 2 k 2 é maior ou 
igual do que 2 fe . Logo, tem que existir pelo menos um primo r < 2 k 2 que 
não divide N. Observe que esta última desigualdade e (35) implicam que r é 
0((log 2 n) 10 ). 

Portanto, podemos achar r simplesmente testando os inteiros, a partir de 
2, para descobrir qual é o primeiro que não divide N. Para isso, efetuamos 
uma divisão para cada inteiro. Como todos estes inteiros serão menores que 
2 k 2 cada divisão tomará um tempo 0((log 2 log 2 n) 2 ). Como r < 2 k 2 , não 
precisamos efetuar mais do que 2 k 2 divisões, o que dá um custo total de 
0(/c 2 (log 2 log 2 n) 2 ), que é inferior a 0((log 2 n) 12 ), pela desigualdade (36). 
Mas isto significa que a etapa 2 também pode ser executada a um custo polino¬ 
mial. 

Observe que podemos facilmente melhorar nossa avaliação do tempo ne¬ 
cessário para achar r se usarmos uma cota melhor no teorema de Chebyshev; 
veja, por exemplo, [Hardy e Wright, capítulo XXII]. 

Análise da etapa 3. Na execução desta etapa usamos apenas o crivo de 
Eratóstenes para listar os primos q < r. Cada vez que um desses primos for 
descoberto pelo crivo, testamos para ver se divide n. Portanto, o custo desta 
etapa é igual ao custo de executar o crivo até r, somado ao custo total das 
divisões. 

De acordo com a análise feita na seção 3 do capítulo 1, o crivo de Eratós¬ 
tenes tem custo 

0(r 2 ) = 0((log 2 n) 20 ), 

se levamos em conta a ordem de r, obtida na análise da etapa 2. Já o custo 
incorrido para dividir n por um inteiro menor que r é 0((log 2 ri} 2 ). Como não 
precisamos efetuar mais do que r divisões, o custo total desta etapa fica abaixo 
de 0((log 2 ri) 20 ). Portanto, mais uma vez, o tempo de execução é polinomial. 

Análise da etapa 4. Esta etapa requer bastante cuidado. Nosso objetivo é 
calcular uma n-ésima potência no anel Z n [x]/(x r — 1). Usando o algoritmo 
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de exponenciação descrito na seção 4 do capítulo 5, sabemos que isto pode 
ser feito ao custo de, aproximadamente, log 2 n quadrados. Mas, quanto custa 
calcular um quadrado em Z„ [a;] / (x r — 1)? 

Digamos que desejamos calcular f 2 onde / € Z n [ x\/(x r — 1). Sabemos, 
da definição de anel quociente, que / e Z n [x] pode ser escolhido de modo que 
o seu grau seja menor que r e seus coeficientes sejam inteiros não negativos 
menores que n. Pela proposição 3.1 da página 45, o custo de calcular f 2 em 
Z n [x\éO(r 2 ( log 2 n) 2 ). 

Entretanto, o polinómio f 2 pode ter grau maior do que r, de modo que 
precisamos ainda reduzi-lo módulo x r — 1 para achar f 2 . Para isso, precisamos 
reduzir cada xP para o qual j > r. Fazemos isto dividindo j por r. Digamos 
que o quociente seja /? e o resto seja p. Então, 

x j = ( x r ) 0 x p = x p em Z n [x]/{x r — 1). 

O custo para realizar isto é o de efetuar a divisão de dois números menores 
que 2(r — 1). Como há, no máximo, r termos de grau maior ou igual a r 
em / 2 , o custo de realizar todas estas divisões é da ordem de 0((log 2 r) 3 ) = 
0((log 2 log 2 n) 3 ). 

Completadas estas etapas, verificamos que cada termo de f 2 que tenha 
grau j, com r < j < 2(r — 1), produz exatamente um termo de grau menor 
que r. Resta-nos somar estes novos termos com os termos de grau menor que r 
que já existiam em f 2 , mesmo antes da redução. Temos, assim, mais r somas 
a efetuar, a um custo total de 0(r(log 2 n) 2 ). 

Como r 2 (log 2 n) 2 tem ordem maior do que (log 2 log 2 n) 3 e também do 
que r(log 2 n) 2 , concluímos que calcular J 2 tem custo 
0(r 2 (log 2 u) 2 ) = 0((log 2 n) 22 ), 

já que, pela discussão da etapa 2, r tem ordem (log 2 n) 10 . Mas o que quere¬ 
mos mesmo é calcular r potências n-ésimas, uma para cada elemento de S. 
Portanto, o custo total desta etapa é de 

0(r(log 2 n)r 2 (log 2 n) 2 ) = 0((log 2 n) 33 ), 

Mais uma vez, o custo é polinomial. 

Isto conclui a análise do custo do algoritmo, e comprova que se trata de 
um algoritmo polinomial. Observe que, de todas as etapas do algoritmo AKS, 
aquela com o custo mais alto é a quarta. Isto significa que, se desejamos tornar 
o algoritmo mais eficiente, precisamos de um procedimento melhor para calcu¬ 
lar potências em Z n [x\/{x r — 1). Este problema é discutido em mais detalhes 
no epílogo. Tendo dito isto, precisamos admitir que nossa análise do custo do 
AKS sofreu-e muito !-com a limitação imposta pela decisão de manter o argu¬ 
mento tão simples quanto possível. Uma análise mais cuidadosa do custo das 
várias etapas do algoritmo leva aos valores relacionados na tabela da próxima 
página. Levando em conta os melhores valores, o algoritmo tem custo inferior 
aO((log 2 n) 13 ). 



t. EXERCÍCIOS 


Etapa 

Custo Otimizado 

Custo Acima 

1 

0((log 2 n) 3 ) 

0((log 2 n) 7 ) 

2 

0(log 2 n) 5 

0(( l°g 2 n) 12 ) 

3 

0((l°g 2 n) 10 ) 

0((log 2 n) 20 ) 

4 

0((log 2 n) 12 log 2 (log 2 n) log 2 log 2 log 2 n) 

0((l°g 2 n) 33 ) 


Tabela 1. Custo das etapas do AKS 


4. Exercícios 

1. Seja m um inteiro positivo. Mostre que a equação iH-I x s = rn tem 

(a) ( r "~ 1 l ) soluções inteiras positivas, e 

(b) soluções inteiras não negativas. 

Sugestão: Reduza (b) a (a) provando que yi + ■ ■ ■ + y s = m + s tem 
tantas soluções positivas quantas são as soluções não negativas da equação 
dada. 


2. Mostre que a equação x\ + ■ ■ ■ + x s < m tem ( m+ * *) soluções inteiras 
não negativas. 

Sugestão: Reduza ao exercício anterior, provando que x\ + ■ ■ ■ + x s + 
z = m — 1 tem tantas soluções não negativas quantas são as soluções não 
negativas da equação dada. 

3. Mostre que 

2(r- 1) ) í2r _ 1 

para todo r > 3. 

Sugestão: 

2(r - i)\ _ 2r - 2 2r - 3 r + 1 
r ) ~ r-2 ' r — 3 1 _ ’ 

é um produto de r termos. Por outro lado, 

2r — j j 

- =2+^—. > 3, 

r~J r-j 

se j > [r/ 2 J. Isto basta para provar a desigualdade se r > 4 (por quê?). 
Um cálculo direto mostra que a desigualdade também vale se r = 3. 

4. Sejam n > 2 e r > 1 inteiros positivos, e seja S = {1, 2 ,..., r}. Suponha 
que 

(i) r é um primo que não divide n; 

(ü) n gera U (r); 

(iii) mdc(n, b—b') = 1, quaisquer que sejam b e b' distintos em S; 
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(iv) vale a desigualdade 



(v) e a igualdade 

(x + b) n = x n + b 

é verificada em Z n [x]/(x r — 1) para cada b £ S. 

Prove que n é uma potência de primo. De que maneira as hipóteses acima 
diferem das hipóteses do teorema 5.2? 

5. Modifique a demonstração do teorema 5.2 de maneira que se aplique ao caso 
em que a hipótese (i) é substituída por mdc(n, r) = ler - lé substituído 
por <j>(r) na hipótese (iii). 

6. Segundo um teorema provado por M. Goldfeld em 1969, há muitos primos 
r para os quais r — 1 tem um divisor primo maior que r 2/ ' 3 . Como con- 
seqüência disto pode-se mostrar que existem qer suficientemente pequenos 
tais que 

q > 4 \\fr\ riog 2 n] e n^ r ~ 1 ^ q ^ 0,1 (mod r). 

Prove que, sob estas hipóteses, o conjunto S = {1,2,..., 2 f ^/r \ \ log 2 n]} 
satisfaz a desigualdade 



onde sé o número de elementos de S. Esta condição substituía a hipótese 
(iv) do teorema 5.2 no enunciado original de Agrawal, Kayal e Saxena, con¬ 
forme a interpretação de D. Bemstein. 

7. Determine o custo das etapas 3 e 4 do algoritmo, sabendo-se que a etapa 2 
pode ser executada em tempo 0((log 2 n) 3 ). 

8. Neste exercício discutimos uma maneira de acelerar o cálculo da etapa 4 do 
algoritmo AKS. Como vimos na seção 3, o problema se reduz a calcular o 
quadrado de um polinómio em Z n [;r] / (x r — 1). Seja / um polinómio em 
Z[x\ que representa a classe em Z n [x\/(x r — 1) da qual queremos calcular 
o quadrado. Podemos supor que os coeficientes de / são inteiros entre 0 e 
n — 1. Seja k = flog 2 (rn 2 )]. Denote por g o polinómio de menor grau em 
Z[x] que representa a classe de f 2 em Z[x]/ ( x r — 1). 

(a) Mostre que os coeficientes de g são todos menores que rn 2 < 2 fc . 

(b) Considere a aplicação 

%l> : Z[x]/{x r — 1.) —* Z 2 fcr_ 1 , 
definida por ifj(h(x)) = h( 2 fc ), onde h £ Z[x\. Mostre que 

onde fii, /i2 € Z[x\/(x r — 1). 
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(c) Mostre que é injetiva. 

Portanto, calculamos /11/12 efetuando o produto ip(hi)ip(h2) em Z 2 fcr_ 1 e 
aplicando ip -1 ao resultado. O polinómio obtido desta maneira pode, então, 
ser reduzido módulo n. 

9. Determine o custo de execução do algoritmo descrito no exercício anterior. 




Epílogo 


Como foi dito no prefácio, e várias vezes repetido ao longo do texto, este 
livro não foi escrito com o objetivo de dar uma exposição completa de tudo 
o que se sabe sobre o algoritmo AKS. Muito menos de tratar de maneira sis¬ 
temática o problema de determinar se um dado número é primo ou composto. 
Na verdade, é tal a atividade em torno das idéias introduzidas no AKS, que 
qualquer tentativa de cobrir sistematicamente o que já foi feito estaria obsoleta 
antes mesmo de ser impressa. 

Por outro lado, além de manter o argumento o mais elementar possível, o 
livro aborda o algoritmo AKS de um ponto de vista meramente teórico. Isto 
significa que, além de pouco termos falado a respeito da implementação do 
algoritmo, nossa análise do próprio AKS deixa muito a desejar. Por exemplo, 
discutimos somente uma das várias versões do algoritmo, e nada dissemos so¬ 
bre os vários aperfeiçoamentos conjecturais que foram propostos, alguns dos 
quais reduzem significativamente o custo total do algoritmo. Para falar a ver¬ 
dade, nossa análise de custo foi tão grosseira que não faria muito sentido em¬ 
barcar nestes refinamentos. 

Seja como for, não podemos simplesmente encerrar o livro sem ao menos 
apontar algumas referências bibliográficas onde estas questões são discutidas 
com detalhe, e é esta a missão do epílogo. 


Para começar, nossa discussão dos testes de primalidade anteriores ao 
AKS foi extramamente superficial. Por exemplo, nada dissemos de substan¬ 
cial sobre maneiras pelas quais se podia provar a primalidade de um número 
grande. Como mencionado na introdução, alguns dos primeiros métodos para 
certificar que um número é primo foram introduzidos por E. Lucas, e depois 
aperfeiçoados por D. H. Lehmer. Nas décadas finais do século XX estes tes¬ 
tes foram generalizados a perder de vista, dando origem a métodos bastante 
eficientes para determinar a primalidade de um número. Mais detalhes sobre 
os testes de primalidade disponíveis antes de 2002 podem ser encontrados em 
[Crandall e Pomerance 2002] e [Ribenboim 2001]. Este último livro é uma 
mina de toda espécie de informação curiosa sobre números primos. 

Ainda hoje, a maneira mais eficaz de verificar se um número de 100, ou 
200 algarismos, é primo é utilizar o Teste da Curva Elíptica, descoberto na 
década de 1990. Uma curva elíptica é uma curva plana (não singular) descrita 
por uma equação de grau 3. Sabe-se, desde o século XIX, que é possível definir 
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uma adição no conjunto de pontos desta curva. Por sua vez, esta operação 
determina uma estrutura de grupo abeliano sobre a curva. O Teste da Curva 
Elíptica adapta a este grupo abeliano a estratégia já utilizada por Lucas no 
grupo U(n). 

O estudo das curvas elípticas, que combina técnicas de álgebra, análise, 
teoria de números e geometria algébrica, é uma das áreas mais ricas da ma¬ 
temática. Um de seus sucessos mais recentes foi a demonstração por A. Wiles 
do Último Teorema de Fermat, já mencionada na introdução. Na verdade, 
o que Wiles provou foi uma conjectura sobre curvas elípticas, formulada na 
década de 1950, e que, segundo já se sabia, tinha como conseqüência o resul¬ 
tado enunciado por Fermat. Entretanto, tal é a sua abrangência, que as curvas 
elípticas também têm aplicações práticas que incluem, além do teste de pri- 
malidade já mencionado, um algoritmo de fatoração para números inteiros e 
vários algoritmos criptográficos. 

Uma exposição dos aspectos mais elementares da teoria das curvas elíp¬ 
ticas pode ser encontrada no excelente [Silverman e Tate 1992], que inclui 
uma discussão do algoritmo de fatoração. O Teste da Curva Elíptica é anali¬ 
sado no Capítulo 7 de [Crandall e Pomerance 2002]. A utilização de curvas 
elípticas em criptografia é amplamente discutida em [Blake, Seroussi e Smart 
2000]. Para uma comparação entre o AKS e o Teste da Curva Elíptica consulte 
[Morain 2002]. 

Passando ao AKS, uma exposição mais sofisticada da mesma versão apre¬ 
sentada neste livro é dada em [Schoof 2003]. Várias versões diferentes do 
AKS, incluindo a original, são descritas no artigo [Bernstein 2003a], que foi 
a principal fonte deste livro. Nele você também vai achar uma discussão deta¬ 
lhada da eficiência do algoritmo AKS e de sua implementação. Um tratamento 
mais minucioso de uma implementação bastante otimizada pode ser encon¬ 
trado em [Crandall e Papadopoulos 2003]. 

A principal falha deste livro, no que diz respeito à implementação do 
AKS, é que nada dizemos sobre procedimentos eficientes para executar a etapa 
4 do algoritmo. Como vimos, a exponenciação de polinómios, executada 
nesta etapa, é a operação de custo mais alto de todo o algoritmo. Por isso, 
substituir o procedimento usual de exponenciação por outro mais rápido terá 
um impacto imediato no tempo de execução do AKS. O mais forte candi¬ 
dato a método eficaz para a exponenciação de polinómios é o algoritmo ba¬ 
seado na Transformada Rápida de Fourier, geralmente conhecida pela sigla 
inglesa FFT. Este algoritmo é descrito em detalhes em [von zur Gathen e 
Gerhard 1999, Capítulo 8]. Mas esta não é a única possibilidade. Por exem¬ 
plo, a implementação de Crandall e Papadopoulos mencionada acima utiliza 
outro algoritmo, conhecido como multiplicação por segmentação binária, cuja 
descrição pode ser encontrada em [Crandall e Pomerance 2002, p. 467]. Veja 
também o exercício 8 do capítulo 5. 

Além das várias versões do AKS, que começaram a surgir tão logo o ar¬ 
tigo de Agrawal, Kayal e Saxena foi postado na web, devemos mencionar uma 
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gama de novos algoritmos por ele inspirados. De um lado, temos refinamentos 
do AKS que são mais eficientes para certas classes de primos [Berrizbeitia 
2002]; de outro, propostas de algoritmos probabilísticos, extremamente efici¬ 
entes, que utilizam uma estratégia semelhante à do AKS [Bernstein 2003b], 
[Mihãilescu e R. M. Avanzi 2003]. 

Em matemática, a solução de um problema importante raramente repre¬ 
senta um fim, ou uma conclusão. Freqüentemente o que acontece é que uma 
nova Caixa de Pandora, cheia de surpresas, foi aberta. Com isso, logo surge 
um grupo de pessoas que se propõe a explorar as conseqüências deste novo 
resultado. Este é, certamente, o caso com o AKS. De fato, a simplicidade deste 
algoritmo traz à tona uma pergunta ainda mais importante, e que pode ser o 
prenúncio de grandes resultados que estão por vir: 

Que outros algoritmos, igualmente simples, ainda não fo¬ 
mos espertos bastante para descobrir? 




Apêndice 


Neste apêndice descrevemos um algoritmo que, dado um inteiro positivo, 
determina se alguma raiz n-ésima de um inteiro dado é inteira. Além de de¬ 
monstrar que o algoritmo funciona, mostraremos que tem custo polinomial. 


1. O método de Newton 

Nesta seção estabelecemos uma espécie de método de Newton módulo p, que 
será a base do algoritmo da próxima seção. Começamos com dois lemas 
básicos sobre polinómios. Ao longo de todo este apêndice denotaremos por 
f'(x) a derivada de um polinómio f(x) com coeficientes inteiros. 


LEMA A.!. Seja g(x) um polinómio com coeficientes inteiros, e seja a £ 
Z. Então, ( x — a) 2 divide g(x) se, e somente se, g(a) = g'(at) = 0. 

Demonstração. Suponhamos, em primeiro lugar, que (x — a) 2 divide 
g(x). Neste caso, existe um polinómio q(x) £ Z[x], tal que 

g(x) = (x-a) 2 q( x). 

Derivando g(x), obtemos 

g'(x) = 2(x — a)q(x) + (x — a) 2 q'(x). 

Donde é claro que g(a) = g'(a ) = 0. 

Reciprocamente, suponhamos que g(a) = g'(a ) = 0. Mas, pelo lema 3.3 
da página 48, se g(a) = 0, então (x—a) divide g(x). Logo, existe h(x) £ Z[x] 
tal que g(x) = (x — a)h(x). Derivando esta última expressão para g(x), 
obtemos 

g'(x ) = h(x ) + (x — a)h'(x). 

Portanto, h(a) = g'(a ) = 0. Usando novamente o lema 3.3 da página 48, 
concluímos que existe q(x) £ Z[x] tal que h(x) = (x — a)q(x). Assim, 

g(x) = (x — a)h{x) = {x— a) 2 q(x), 

como queríamos mostrar. 


O segundo lema corresponde à fórmula de Taylor para um polinómio. 
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LEMA A. 2. Seja /( x) £ Z[x\ e a um inteiro qualquer. Então 
f(x) = f(a) + f'(a)(x -a) + h{x)(x - a) 2 , 
para algum h(x) eZ[i], 

Demonstração. Pelo lema anterior, basta mostrar que 
g(x) = f(x) - f(a) - f(a)(x - a), 
satisfaz g(a) = g'(a) = 0. Mas 

g(a) = f(a) - f(a) - - a) = 0, 

ao passo que, g'(x) = f'(x)—f'(a), donde g'(a ) também é zero, completando 
a demonstração do lema. 

O resultado central deste apêndice é a seguinte versão módulo p do método 
de Newton. 

TEOREMA A. 3. Sejam a e p > 0 inteiros, onde p é primo. Suponha¬ 
mos que f(x) £ Z[x] é tal que f'(a ) é inversível módulo p e que f(a ) = 0 
(mod p k j, para algum inteiro k > 0. Se 
(37) (3 = a - /((*)(/'(a)) -1 (modp 2fe ), 

então 

(i) (j = a (mod p k ); 

(ii) f(P) = 0 (mod p 2k ); e 

(iii) f'(0) é inversível módulo p. 

Demonstração. Como p é primo, então 

mdc(a, p k ) = 1 se, e somente se, mdcfa.p) = 1, 
qualquer que seja a £ Z. Em particular, f'(a) é inversível módulo p 2k e a 
equação (37) está bem definida. 

Para provar (i) observe primeiro que, como 

(3= a-f (a) (fia))- 1 (mod p 2k ), 
então a mesma congruência vai valer módulo p k . Logo, 

P = a-f(a)(f(a))~ 1 =a (modp fc ), 
já que f(a) = 0 (mod p k ), por hipótese. 

Para provar (ii) fazemos x = (3 na fórmula dada pelo lema A.2, obtendo 

m = /(«) + - «) + - a) 2 , 

onde h(x) £ Z[x\. Como p k divide (3 — a por (i), então (J3 — a) 2 = 0 
(mod p 2k ), de modo que 

f{0) = f(ot) + f'(a)((3 - a) (mod p 2k ). 

Contudo, (3 — a= —/(a)(/ , (a)) _1 (mod p 2k ) por (37), donde 
m = = /(a)+/'(a)(-/(a)(/ / (a))- 1 ) = 0 (mod p 2k ), 
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o que prova (ii). 

Finalmente, (i) implica que 0 = a (mod p), de modo que f'(0) = /'(a) 
(mod p). Então, (iii) segue do fato de /'(a) ser inversível módulo p por 
hipótese. 

O próximo resultado estabelece a unicidade de um zero de um polinómio 
módulo uma potência de primo a partir de certas condições iniciais. Observe 
que as hipóteses são essencialmente as mesmas do teorema anterior. 

TEOREMA A.4. Sejam a e p > 0 inteiros, onde p é primo. Suponha¬ 
mos que f(x) £ Z[x) é tal que f'(a) é inversível módulo p e que f(a) = 0 
(mod p). Sejam 0\, 0 2 e k > 0 inteiros tais que 

(i) 0i = P2 = a (mod p), e 

(ii) f(0 1) = f(0 2 ) = 0 (mod p k ), 
então 0i = 0 2 (mod p k ). 

Demonstração. Pela fórmula do lema A.2 

(38) f(0 2 ) ~ f(0 1) = (02 ~ AX/W + MAXA ~ A)X 

onde h(x) £ Z[x]. Porém, 

f'(0i) + K0i)(0 2 - 0i) = f(0i) = f(a) (mod p) 
já que 0i = 0 2 = a (mod p) por (i). Mas, f'(a ) é inversível módulo p, de 
modo que também será inversível módulo p k . Portanto, f'(0i) + h(0i)(0 2 — 
0i) é inversível módulo p k . Digamos que seu inverso é u. Multiplicando (38) 
por u, obtemos 

A/(A) - f(0i)) = (02 - 0i) (mod p k ), 
e o resultado segue de (ii). 

2. O algoritmo 

Vamos aplicar os resultados da seção anterior a um algoritmo que detecta se 
um dado inteiro positivo a tem raiz n-ésima inteira. O algoritmo pressupõe 
que tanto a, quanto n, sejam inteiros ímpares. Por isso, analisaremos antes o 
que fazer se são pares. 

Se a for par, podemos extrair a maior potência de 2 que divide a e depois, 
se necessário, aplicar o algoritmo ao co-fator. Isto é feito dividindo a sucessi¬ 
vamente por 2 até obter um quociente ímpar. Para isso teremos que executar, 
no máximo, [log 2 aj divisões, ao custo de 0((log 2 a) 2 ) cada uma; o que dá um 
custo total de 0((log 2 a) 3 ). Observe que, se a multiplicidade de 2 na fatoração 
de a não for divisível por n, então a não pode ter raiz n-ésima inteira e não 
precisamos sequer aplicar o algoritmo. 

Por outro lado, se n for par, então precisamos extrair algumas raízes qua¬ 
dradas antes de poder aplicar o algoritmo. O número de raízes quadradas que 
precisamos extrair é igual à multiplicidade de 2 na fatoração de n. Podemos 
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modificar facilmente o algoritmo descrito abaixo de modo a extrair raízes qua¬ 
dradas. Para mais detalhes veja o exercício 3. 

Resta-nos, portanto, descrever um algoritmo polinomial, para o caso em 
que a e n sejam ímpares. O algoritmo utiliza o método de Newton da seção 
anterior para o primo 2. Com isto estaremos operando módulo potências de 2, 
o que explica porque a não pode ser par. 

Algoritmo para detectar potências n-ésimas 

Entrada: inteiros positivos ímpares a e n. 

Saída: sim ou não, dependendo se a tem ou não raiz n-ésima inteira. 

Etapa 1 : Seja k = \ (log 2 a) / n ] e faça r = [~log 2 fc] . 

Etapa 2: Inicialize S = 1 e % = 0. 

Etapa 3: Se * = r páre de executar o laço e calcule R = S n - a. Imprima 
sim, se R = 0, ou não, se R ^ 0. 

Etapa 4: Calcule o inverso T de nS n ~ 1 módulo 2 2 ’ pelo algoritmo euclidiano 
estendido. 

Etapa 5: Atribua a S o resíduo módulo 2 2 ’ de S — ( S n — d)T e volte à etapa 
3. 


Vamos, primeiramente, demonstrar que o algoritmo funciona corretamen¬ 
te. Seja Sj o valor da variável S no j-ésimo laço da execução do algoritmo. 
Sendo f(x) = x n — a, chamaremos de A(j) ao seguinte conjunto de três 
afirmações sobre Sj: 

• Sj = 1. (mod 2 23 ), 

• f(Sj) = 0 (mod 2 23 ), e 

• é inversível módulo p. 

Pelo teorema A.3 se A(j) for verdadeira, então A (j + 1) também será. Mas a 
variável S é inicializada com ,S'o = 1 e n e a são ímpares, de modo que 
/(l) = 0 (mod 2) e f(l) = n = 1 (mod 2). 

Portanto, A(0) é verdadeira. Logo, por indução em j, A(j) é verdadeira, para 
todo j > 0. Em particular, depois do algoritmo executar r laços teremos que 
S" = a (mod 2 2 ). 

Mas, se a = a n para algum inteiro a GZ, isto implica que 
S " = a n (mod 2 2 ^); 
e, pelo teorema A.4, concluímos que 

S r = a (mod 2 2 ). 

Entretanto, 

a = a 1/n < 2 k <2 2r . 
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Mas dois inteiros não negativos menores que 2 2 só podem ser congruentes 
módulo 2 2 se forem iguais. Portanto, a é a n-ésima potência de a se, e so¬ 
mente se S r = a, provando que o algoritmo funciona corretamente. 

Falta determinar o custo do algoritmo. Começaremos analisando cada 
uma de suas etapas individualmente. Como os números estão armazenados 
em notação binária, o custo da etapa 1 é desprezível, a não ser pela divisão por 
n que tem custo 0((log 2 n) 2 ). 

O custo das etapas 3, 4 e 5 depende diretamente do custo de calcular uma 
potência n-ésima módulo 2 2 ^. Mas, pela seção 3 do capíulo 4, isto pode ser 
feito ao custo 

0{ 2 4r log 2 n) = 0(k 4 log 2 n) = 0((log 2 a) 4 log 2 n). 

Na etapa 3 são executadas duas operações, uma potenciação com expoente 
n, e uma soma. A soma tem um custo muito mais baixo que o da potenciação, 
e pode ser ignorada. Como 5" < 2 2r , então S r r l não pode ter custo maior que 
o de elevar uma classe módulo 2 2 ' à n-ésima potência. Mas, já vimos que isto 
custa 0((log 2 a) 4 log 2 n). 

Como i < r, podemos analisar as duas etapas que faltam supondo que 
i = r — 1. As operações de adição e multiplicação módulo 2 2 têm custo 
inferior a 

0((log 2 (2 2r ) 2 ) = 0((log 2 a) 2 ). 

Já o cálculo do inverso pelo algoritmo euclidiano estendido, tem um custo 
0((l°g 2 (a) 3 ), segundo o exercício 7 do capítulo 1. Portanto, podemos ignorá- 
las, quando comparadas à exponenciação. Logo, o custo das etapas 4 e 5 é 
o mesmo que o do cálculo da potência que, mais uma vez, é da ordem de 
0((log 2 a) 4 log 2 n). 

Não podemos esquecer que as duas últimas etapas são executadas r vezes. 
Como r é menor que 1 + log 2 log 2 a, o custo total do algoritmo não pode 
execeder 

0((l + log 2 log 2 a)((log 2 a) 4 log 2 n)) = 0((log 2 a) 6 ), 
uma vez que n < log 2 a. Portanto, não há dúvida de que se trata de um algo¬ 
ritmo polinomial. 

3. Exercícios 

1. Use o algoritmo da seção 2 para calcular a raiz quinta de 28153056843. 

2. Modifique o algoritmo descrito na seção 2 para que faça todas as reduções 
módulo 3 e mostre como usá-lo para calcular raízes quadradas. 

3. Use o algoritmo do exercício 2 para achar a raiz quadrada de 15733939225. 

4. Mostre que o algoritmo descrito no exercício 2 tem custo polinomial. 
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